コロナ患者らの個人情報漏洩＝大統領など１６００万人分＝病院職員が暗証など消し忘れ

個人情報が露出状態になっていた事を報じる２６日付エスタード紙の記事の一部

　保健省のシステムに登録されている新型コロナ感染症の疑似症患者や感染が確認された患者に関する個人情報が、外部から容易にアクセスできる状態に１カ月近く放置されていた事がわかったと２６日付エスタード紙が報じた。
　氏名や納税者番号、住所、電話番号、過去の病歴などの個人情報が露出状態に置かれたのは少なくとも１６００万人。ボルソナロ大統領やその家族、オニキス・ロウレンゾニ市民相ら複数の閣僚、ジョアン・ドリア聖州知事ら１７州の知事、上下両院議長などもその中に含まれている。
　今回の情報漏洩はハッカー攻撃や安全性を確保するための対策不足によるものではない。コロナ対策で保健省と協力関係にある聖市のイスラエリタ・アルベルト・アインシュタイン病院の職員が、１０月２８日に保健省のシステム関連のテストを行った際、氏名や暗証などが記載されたページをネット上で公開状態のまま放置してしまったという人為的ミスだ。
　保健省のシステムは二つあり、ＰＣＲ検査などを受けた人や入院している人など、２５００万人のデータが登録されている。漏れた暗証は、疑似症患者や軽症の患者に関するＥ―ＳＵＳ―ＶＥというデータと、重篤な呼吸器系疾患を抱えた重症患者に関するＳｉｖｅｐ―Ｇｒｉｐｅというデータへのアクセスを可能にするものだった。
　個人情報がいつでもアクセスできる状態に置かれていた事は、システムにアクセスするための暗証などが記載されたページに関するリンクを添えた報道によって明らかになった。

　取材者は、暗証などの情報が本物かを確かめるため、保健省のシステムにアクセス後、感染が確認されたり疑われたりした公職者のデータを確認し、本物であるとの確証を得たという。
　保健省のシステムの個人情報には、既往症の有無や、どの病院のどの階で入院し、どんな薬を使用したかといった詳細な情報まで含まれている。人権問題の専門家は、保険会社や製薬会社が喜びそうな内容で、悪用される可能性もあると指摘している。
　保健省とアインシュタイン病院が暗証などの情報が漏れていると知らされたのは２５日午後で、緊急会議後にネット上の情報を削除。アクセス用のユーザー名や暗証も変更した。アインシュタイン病院では調査委員会を設置し、責任の所在を調査すると共に、再発防止策を話し合う意向だ。
　アインシュタイン病院によると、このシステムへのアクセスは保健省が認めた職員だけが可能だという。今回の場合はプログラミングのために使うプラットフォームであるモデルのテストを行った職員が、テスト終了後にデータが記載されたページを削除するのを忘れた事を認めている。
　保健省のシステムは５～１１日の間、正常に機能せず、各州保健局からのデータが登録できないといった問題が生じていたが、今回の問題との関係は言及されていない。