【セキュリティ事件簿】早稲田大学 スチューデントダイバーシティセンター 異文化交流センター  個人情報が閲覧できる状態になっていたことに関するお詫び 2022年12月27日


早稲田大学 スチューデントダイバーシティセンターに設置する異文化交流センター(以下「ICC」)が開催した各種イベントの参加当選者の情報が、他の当選者にも閲覧可能な状態となっていたことが判明しました。当選者の皆様にご迷惑をお掛けしたことを深くお詫び申し上げます。内容および対応については以下の通りです。

1. 概要

ICC が開催する各種イベントへの参加申込後、当選者に改めて参加意思を確認するために使用していた Google Forms の設定ミスにより、当該フォームに回答したイベント当選者がアクセスできる結果画面で他の回答者の個人情報が閲覧できる状態にあったことがわかりました。2022 年 11 月 18 日(金)時点で閲覧できる状態にあったのは合計 34 フォームあり、イベントごとに異なるものを作成していますが、そのうち情報を閲覧できたのは同一イベントに当選した他の回答者の回答内容に限ります。

2. 個人情報が閲覧できる状態であった状況の概要

・件数
閲覧できる状態であった可能性がある 34 フォーム中、1,053 名(延べ 1,370 名)

※該当するイベントリスト:
https://waseda.box.com/s/sv378hansw6uml1iy0nr53fxvk1b164t

・期間
2021 年 10 月~2022 年 11 月

・閲覧できる状態であった可能性がある情報
フォームへ入力されていた以下の(1)~(4)の情報となります。ただし、氏名及びに参加意思有無以外はフォームによって内容が異なり、設問自体が設けられていないこともあります。また、34 フォームのうち、閲覧した者が他者の情報について、個人を特定できる状態で閲覧できたものは 6 フォームとなります。他 28 フォームは閲覧した際、回答者氏名と回答内容の並び順がずれた形で表示されておりました。

なお、現時点において、個人情報が悪用されたなどの被害相談はございません。
(1)氏名
(2)学籍番号
(3)参加意思有無
(4)その他(当日使用したい名前、日本滞在有無、参加日、録画録音可否、写真撮影可否、当日集合場所、遵守事項の同意有無、病歴、身体障がいに関する情報、その他参加当選者コメントなど)

※病歴、身体障がいに関する情報については、個人を特定して閲覧できる状態にありませんでした。

3. 発生原因

発生原因は次の通りです。

①フォーム上の設定において、「結果の概要を表示する」のスイッチをオンにしていたこと
  • 上記設定により、ICC から通知したリンクから回答した者が回答結果後に表示される「前の回答を表示」というリンクをクリックすると、自分以外のイベント参加当選者の回答も閲覧できる状態となります。
②公開前に設定のチェック漏れ
③過去の誤った設定のフォームを流用したこと
④誤った設定のフォームを繰り返し使用し続けたこと

なお、当該フォームの作成およびイベント当選者への参加意思確認は、外部委託しておらず、ICC において行ったものです。

4. 対応状況

2022 年 11 月 17 日(木)16:00 頃にフォーム上で個人情報が閲覧可能であったことが判しました。2022 年 11 月 18 日(金)14:00 頃までに、可能性があるフォーム全てについて、個人情報が閲覧できる状態を解消しました。また、2022 年 12 月 27 日(火)16:00頃に、個人情報が閲覧される可能性があった当選者には電子メールを用いて、お詫びと経緯の説明を原則行いました。

5. 再発防止のための対応

今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての教育を徹底するとともに、フォーム作成にあたっては担当者による複層的なチェックを行う実効的な措置を講じる等、個人情報の管理を更に強化し、再発防止に努めてまいります。