【セキュリティ事件簿#2023-279】山口県 イベントの参加申込情報がインターネット上で閲覧できる状態になっていたことについて 2023年7月21日更新


障害のあるこどももないこどもも参加する交流イベント「あいサポランド」の委託事業者である学校法人YIC学院が、本イベントの申込フォームの設定を誤り、他の参加申込者の個人情報がインターネット上で閲覧できる状態にあったことが判明しました。

事案判明後、直ちに下記の措置を講じました。

1 経緯

7月19日(水曜日)、委託事業者に申込者の一人から「申込フォームから『前の回答を表示』ボタンを押すと他の申込者の情報が閲覧できるようになっている。」と電話があり、発覚した。

2 閲覧可能であった個人情報及び期間

(1) 閲覧可能であった個人情報

申込者34名分の保護者氏名、子供氏名・年齢、住所、電話番号、メールアドレス、備考(配慮事項等)

(2) 閲覧可能な状態であった期間

令和5年7月13日(木曜日)から7月19日(水曜日)まで(7日間)

3 原因
   
申込フォームの設定を誤り、他の申込者の情報が閲覧できる設定にしていたため。

4 対応

  •  直ちに、委託事業者以外が参加申込情報を閲覧できないようにした。

  • 参加申込者34名へメール及び電話で、謝罪と事実関係の説明を行った。

  • 県は委託事業者に対し、フォームの事前設定を複数名でチェックする等の再発防止に向けた情報管理の徹底を指示した。