ワークスタイルテック株式会社(東京都港区)のクラウド型労務管理システムWelcomeHRで保存されていた個人情報がサーバーの設定ミスにより流出した問題で、流出した15万人超のデータの中に茨城県のワクチン接種会場の医療従事者1693人分のデータが含まれていたことを茨城県が明らかにした。愛知県看護協会は愛知県豊橋市内の大規模接種会場でワクチン接種に従事した看護師のデータが流出したことを明らかにしており愛知県もこれを認めているが、愛知県は他の接種会場での流出の有無など詳細については明らかにしていない。
茨城県が5月24日に発表したリリースによると、流出が明らかになったのは2022年2月以降に茨城県が設置した水戸、牛久、つくば、古河、神栖の新型コロナウイルスワクチンの大規模接種会場で接種に従事した医師、看護師、薬剤師ら計1693人分の個人データ。県が会場の運営を委託した株式会社シーユーシー(東京都港区)が労務管理のためワークスタイルテックのWelcomeHRを使用していた。流出したデータは、氏名、性別、住所、身分証明書(マイナンバーカード、運転免許証、パスポート等)としている。
株式会社シーユーシーは、新型コロナウイルスのワクチン大規模接種会場の支援事業として20以上の自治体、150以上の接種会場の支援を実績として明らかにしていることから医療従事者の個人データ流出が愛知、茨城にとどまるとは考えにくい。また、愛知県における流出は、現状では看護協会が明らかにしている豊橋市内の大規模会場にとどまるが、大村秀章知事はシーユーシーが愛知県のワクチン接種に尽力したとして感謝状まで贈呈していることから他の接種会場の運営についてもシーユーシーに委託していたとみられ、その際の労務管理にワークスタイルテックのWelcomeHRが使われていれば、愛知県における医療従事者の個人データ流出はかなり多くなることも予想される。
愛知県は取材に対して引き続き確認をしているとするとともに、県の委託先事業者のシーユーシーではなく、流出元のワークスタイルテックに直接報告を求めており、ワークスタイルテックからの報告を待っている状況だとしている。新型コロナウイルスのワクチン接種は主に2021年から2022年にかけて地方自治体が接種会場を設置するなどして行われたもので、流出が明るみになった豊橋市内の大規模会場は2021年7月に開設、茨城県の5会場は2022年2月以降に開設されたという。一方、ワークスタイルテックが流出を明らかにしたのは今年3月で、2020年1月5日以降にWelcomeHRのサーバーに保管された計約16万人分の個人データが設定誤りにより閲覧可能な状態になっており、うち15万人分については2023年12月28日と29日に何者かによってダウンロードされていたというものだ。愛知のケースでは接種会場の開設後、2年以上経ってからデータが流出したことになるが、その間、看護師らの個人データはワークスタイルテックのサーバーに保管され続けていたことになり、県と委託先企業であるシーユーシーがワクチン接種時の医療従事者の個人情報の取り扱いをどのように取り決めていたのか気になるところだ。
