【セキュリティ事件簿#2023-438】東京医科歯科大学 学園祭HP上で個人情報が一時的に閲覧可能な状態になっていた事例について


この度、東京医科歯科大学の学園祭である第 72 回お茶の水祭(2023 年 10 月 14 日~15日開催)の特定のイベント 1 件への参加申し込みフォームに不備があり、個人情報延べ 44名分の漏えいが発生しました。44 名の皆様には既に事情説明と謝罪を済ませておりますが、関係者の皆様にご迷惑とご心労を与えてしまったことを深くお詫び申し上げます。

1.概要

今般、お茶の水祭の高校生向け企画「診療体験」について、google forms にてご応募くださった方々におかれまして、参加情報を送信した後の画面に表示されるリンク先 URLをクリックした場合に、他の参加者の個人情報が閲覧できる状態になっておりました。

本件は、募集に使用したgoogle formsの設定に誤りがあったことが原因でございます。現在は、設定を変更し他の参加者の個人情報を閲覧できない状態にした上で、google forms での応募ページを閉鎖しております。

他の参加者の個人情報が閲覧できた期間は 2023 年 9 月 19 日 17 時頃から同 10 月 3 日11 時頃まででした。閲覧できた情報は、氏名とふりがな、学校名、メールアドレス、イベント内での呼び名(ニックネーム)、個人情報の取扱いについての同意の有無などです。個人情報が google forms 上で閲覧状態になってしまった延べ 44 名の皆様には、東京医科歯科大学お茶の水祭実行委員会委員、及び東京医科歯科大学学生支援事務室より事情説明と謝罪の連絡を取りました。

2.再発防止

以下の対応を行うことで、本事故の再発防止とし、情報の適切な取り扱いの徹底を図ります。

  • 本事案について次期東京医科歯科大学お茶の水祭実行委員会委員への引き継ぎに記載し、来年以降の実行委員会委員となる学生に必ず確認させることとします。
  • 学生がお茶の水祭において個人情報の収集を行う場合は、担当部署である東京医科歯科大学学生支援事務室に収集目的・収集項目・管理方法・破棄方法を報告及び相談を行い、学生支援事務室が認めた場合に限り、申請フォームを作成・公開することとします。
  • 全学生、及び職員に対し、個人情報の正しい取り扱いについて、再周知を徹底します。