【セキュリティ事件簿#2023-277】愛媛県立医療技術大学 「助産学専攻科オープンキャンパスの申し込みフォーム」における個人情報の漏えいについて 2023年7月24日


本学が8月21日に開催を予定している「助産学専攻科オープンキャンパス」の参加申込者(29名)の個人情報が標記申し込みフォーム上で閲覧できる状態にあったことなどが判明しましたので、お知らせします。

なお、個人情報が閲覧できる状態は、判明後直ちに解消させるとともに、今回御迷惑をおかけした29名の皆様には、既に全員に事情を説明して謝罪したほか、関係者1名(下記の電話連絡があった方)に対しても事情を説明して謝罪いたしました。

本学としては、このような事態を招いたことを重く受け止め、今後は、個人情報の取扱いを徹底するとともに、学内の情報リテラシーを向上させるなど、再発防止に努めてまいります。

1 判明日時

令和5年7月21日(金) 20時30分頃本学の「助産学専攻科のオープンキャンパス」の参加申込手続をしようとした方から、申し込みフォーム自体が書き換え可能な状態のため更新してしまい、自身で削除するまでの間(約8時間)個人情報が掲載されてしまったとの電話連絡があった。

2 概要

上記連絡を受けて、大至急調査した結果、申し込みフォームに関して、以下2点の不適切な状態が判明したため、直ちに改善措置に取りかかり、21日深夜(24:30)までに作業を完了した。

※不適切な状態にあったのは7/12(水)~7/21(金)の間

☆以下2点とも、案内チラシのQRコードを経由して申し込みフォームにアクセスした場合のみにおいての発生事象

※申し込みフォームへのアクセス方法としては、案内チラシのQRコード(関係の学校に配布及びホームページ上に掲載)のほか、本学のホームページに掲載の申し込みフォームから入力する方法あり。

※本学の学生には、別途メール(QRコードの掲載なし)で開催案内を送付。

1)申し込みフォーム欄外の回答とは無関係の特定のボタンを1回クリックすると申込済全員(29名)の氏名等が表示され、さらに特定のボタンをクリックすると同全員のフォームへ入力した個票が閲覧できる状態にあった。

※閲覧できる状態にあった個人情報(フォームへの入力内容)

【氏名、所属(本学在学生か否か・学校名・学年)、当日の参加方法(来校かZOOMか)、メールアドレス、電話番号、過去の参加歴、参加目的】

2)上記1で連絡があったとおり、設問部分を含む申し込みフォーム自体の書き換え及び更新が可能な状態となっていた。

3 原因

学内の情報セキュリティ専門家を交えて究明したところ、以下の設定作業における人為的作業ミスが重なったことによるもので、設定後のチェックも不十分であった。

《要因1》

・QRコードのアクセス先を、HPに掲載されているものと同じ回答用のURLとすべきところを、誤って編集用のURLを添付してしまった。

※編集用URLは、編集者側(本学)が、後の集計作業等に利用するためのURLだが、編集権限がなければ操作はできず、この時点では、広報委員会の担当教員1名のみにしか権限が与えられていなかったため、その他の者は編集することはできず、個人情報の閲覧もできない。

※なお、回答用URLと編集用URLの画面は、一見するだけでは違いが分かりにくい。

《要因2》

・7/12、広報委員会担当事務職員も含め、関係する広報委員会委員も集計作業等を行う必要があることから、編集者権限を、それまでの1名から広報委員会関係職員全員に移譲した。そのプロセスで操作を誤り、編集用URLにアクセスしたもの全員がフォームを編集できる設定になったと推察される。

・要因1で、利用者側に表示されている申込フォームが編集用となっていたため、利用者も編集可能な状態になり、個人情報も閲覧可能な状態になった。

4 再発防止策

このような事態を招いたことを重く受け止め、今後、このような事態が生じないよう、個人情報の取り扱いを徹底するとともに、学内の情報リテラシーを向上させ、再発防止に努める。