【セキュリティ事件簿#2023-223】東京都立多摩総合医療センター 臨床研修医受験者向け申込みフォームにおける個人情報の誤表示について 2023年6月9日


当院の臨床研修医受験者向け申込みフォーム(以下、「申込みフォーム」という。)において、直前の利用者の個人情報が表示される事故が発生いたしましたので、お知らせいたします。

関係者の皆様には、多大な御迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

申込みフォームにおいて、令和4年8月1日(月曜日)から令和5年6月2日(金曜日)までの間、一定の条件(※)のもと直前の利用者の入力情報が閲覧できる状況にあったことが確認された。

※申込みフォームの「内容確認」ボタンを押下後、30分以内に他の人がアクセスすると、直前の利用者が入力した情報が閲覧できる状況になっていた。

【申込みの手順】
①申込みフォームに利用者の情報を入力し、②「内容確認」ボタンを押下後、③入力情報の確認画面が表示され、④「送信」ボタンを押すことで登録手続が完了となる。登録手続が完了すると、多摩総合医療センターにおいて利用者の情報が把握できる。
なお、②「内容確認」ボタンを押下した時点で、入力情報がシステム上に一時保存される。

2 誤って表示された個人情報 

氏名(ふりがな)、性別、生年月日、メールアドレス、大学名、現住所(郵便番号、住所、電話番号)、緊急連絡先(現住所と異なる場合。郵便番号、住所、電話番号)

3 対象者数 

システムに残っているログから、個人情報を他の人が閲覧できる状況にあったと考えられる方
(「内容確認」ボタン押下後、30分以内に別の方がアクセス) 
7名

4 事故の経緯

6月1日(木曜日)
・同日に登録した2名から多摩総合医療センター宛てに問い合わせあり 
・申込みフォームにおいて他の利用者の入力情報が閲覧できる状況であったことが発覚
・多摩総合医療センターにおいて、申込みフォームによる受付を停止

6月2日(金曜日)
・サイト構築業務を受託している株式会社セルコにおいて、申込みフォームのシステムの設定を修正

6月8日(木曜日)現在
・二次被害等の連絡はない

6月12日(月曜日)
・多摩総合医療センターにおいて、申込みフォームによる受付を再開予定

5 事故の原因 

本件のような個人情報が含まれるページにおいては、本来、システム上に入力情報を一時保存しないよう設定すべきものだが、受託事業者の設定ミスにより、30分間一時保存されるように設定されてしまったため

6 対応状況と再発防止策
  • 対象者7名のうち、登録が完了し、多摩総合医療センターにおいて個人を特定できた3名に対し、経緯の説明及び謝罪を行った。
  • 当機構内の類似の申込みフォームにおいて、同様の事象が起きる設定になっていないことを確認した。
  • 受託事業者である株式会社セルコに対し、厳重に注意するとともに、システムの再点検や関係職員の教育指導などを指示した。