- IDHSが公開アクセス可能な地図を通じて70万人分の機微なデータを誤って公開
- データには住所、ケースの詳細、医療支援プラン情報が含まれていた
- 2025年9月にアクセスを制限;影響を受けた人々には通知したが、クレジット監視は提供されず
イリノイ州人間サービス局(IDHS)はデータベースをオープンインターネット上に置いたままにしており、見つけた人なら誰でも70万人分の機微なデータにアクセスできる状態になっていた。
1月上旬に同局のウェブサイトで公開されたプレスリリースによると、低所得者や脆弱な家庭向けのプログラム計画を支援する部門である、IDHSの家族・地域サービス部(Division of Family and Community Services)計画・評価局(Bureau of Planning and Evaluation)が、資源配分の意思決定を支援するはずの地図を作成したという。
これらの地図は、IDHSが「新しい地域事務所をどこに開設するかを判断する」ために作成され、「IDHS内部での利用のみに限定される」ことを意図していた。しかし、地図はクリアウェブに掲載され、結果としてすべての訪問者がアクセスできる状態になっていた。
(まだ)悪用されていない
IDHSの説明によれば、このインシデントの影響を受けた人々は2つのカテゴリに分けられる。約3万2,000人のリハビリテーションサービス部(Division of Rehabilitation Services)の利用者と、67万人超のメディケイドおよびメディケア貯蓄プログラムの受給者だ。
第1のグループについて、IDHSは氏名、住所、ケース番号、ケースのステータス、紹介元情報、地域および事務所情報、ならびにDRS受給者としてのステータスを公開していた。
第2のグループについて、公開された情報には住所、ケース番号、人口統計情報、そして医療支援プラン(メディケイド、メディケアなど)の名称が含まれる。影響を受けた可能性があると考える人は、なりすまし(ID盗用)や詐欺に注意すべきだ。
これらの地図の設定方法と公開されたデータの性質上、誰が閲覧したのか、また悪意ある者が内部の情報を持ち出した(流出させた)のかを特定することは不可能だという。ただしIDHSは、悪用の試みを示す証拠は確認されていないと主張している。
このミスは2025年9月下旬に発見され、同局は認可された職員のみにアクセスを制限することで対応した。現在、影響を受けた人々に通知しており、利用者が追加の問い合わせのために電話できるフリーダイヤルも設置した。
現時点では、なりすまし被害対策やクレジット監視サービスについての言及はないが、こうした状況では標準的な対応とされている。
