このたび、株式会社日本政策金融公庫(略称:日本公庫)が主催する「高校生ビジネスプラン・グランプリ」において、応募受付システムの設定不備がありました。その結果、応募登録者(学校の教員及び応募者の代表生徒)が検索を行うことにより、同じ「学校名」で登録された他の教員や生徒(応募者)の個人情報を閲覧できる状態であったことが判明しました。
本件につきまして、下記のとおりご報告いたしますとともに、関係者の皆さまに多大なるご迷惑・ご心配をおかけしますことを、深くお詫び申し上げます。
なお、システムの設定不備が判明した時点で直ちにシステムを修正し、個人情報の漏えいは生じないように対処しております。
1.概要
2025 年9月 25 日(木)、「高校生ビジネスプラン・グランプリ」の応募受付システムにおいて、他の教員や生徒(応募者)の個人情報が閲覧できる状態となっている、との報告が応募登録者から寄せられていることを確認しました。
直ちに調査を行った結果、応募登録者が検索を行うことにより、同じ「学校名」の他の教員や生徒(応募者)に関する個人情報を閲覧できる状態となっているというシステムの設定不備が判明しました。このため、直ぐに当該検索機能を改修し、同日 12 時 30 分には個人情報の漏えいは生じない状態としました。
2.経緯
2021 年度にシステム改修を行い、新設・統廃合した学校の教員が登録に困らないよう、選択する「学校名」に、都道府県ごとに「該当なし(都道府県)」というフラグを新設しました。また、2023 年度には、「生徒も直接応募できるようにして欲しい」との要望を踏まえ、応募者の代表生徒も応募登録ができるよう、システム改修を行いました(2022 年度までは、応募登録できるのは教員のみでした。)。
これらシステム改修において、二つの設定不備が発生しておりました。一つ目は、学校名による検索機能制限の不備です。「該当なし(都道府県)」で登録された応募登録者は、同じ「該当なし(都道府県)」で登録された他の学校の教員や生徒(応募者)の個人情報が閲覧可能となったことです。二つ目は、応募者の代表生徒が応募登録をした場合でも検索機能に制限がかかっておらず、同じ「学校名」で登録された他の教員や生徒(応募者)の個人情報が閲覧可能となったことです。
このため、今回のような状態が生じておりました。
3.漏えいした個人情報及び閲覧される可能性があった(漏えいのおそれがあった)個人情報
現時点で把握している事実関係は次のとおりです。
(1)漏えいした個人情報
検索者と同じ「学校名」で登録されている6人(教員及び生徒)の個人情報(氏名、メールアドレス、学校名、学科、住所、電話番号)です。
(2)閲覧される可能性があった(漏えいのおそれがあった)個人情報
検索者と同じ「学校名」で登録されていた教員及び生徒の個人情報(氏名、メールアドレス、学校名、学科、住所、電話番号)が閲覧される可能性がありました。閲覧される可能性があった 2021~2025 年度に応募した教員及び生徒については現在、調査中です。
<検索者が検索した場合に閲覧される可能性があった個人情報>
〇「学校名」で「A高校」を登録した応募登録者が検索した場合
「A高校」で登録されていた教員及び生徒の個人情報
※「B高校」など他の学校で登録されていた情報は閲覧されません。
〇「学校名」で「該当なし(都道府県)」を登録した応募登録者が検索した場合
「該当なし(都道府県)」で登録されていた学校の教員及び生徒の個人情報
※同一都道府県内で複数の学校が登録されていた場合、同一都道府県内の他の学校の教員及び生徒の個人情報が閲覧される可能性がありました。
実際の漏えいが(1)以外にあったかどうか等については、更なる調査を進めております。今後お伝えすべき事実が判明した際には、改めてご報告いたします。
なお、現時点の調査結果に即して、個人情報保護委員会に報告しております。
4.被害の状況
現時点において、当該情報の不正利用に関する報告や問い合わせはなく、二次被害は確認されておりません。
5.再発防止策
今後は、新たなシステムの開発や改修にあたり、設計段階から確認を徹底するなど同様の事態が生じないよう再発防止を徹底してまいります。
6.お問い合わせ先
現時点で二次被害は確認されておりませんが、日本公庫関係者へのなりすましを含め、不審なメールや連絡があるおそれがあります。不審なメールや連絡を受け、ご不安・ご心配を感じられた場合は、高校生ビジネスプラン・グランプリ事務局(以下の「本件に関するお問い合わせ先」)までご連絡をお願いいたします。
