慶応義塾大学病院、管理向けURLの誤公開と設定ミスで個人情報が閲覧可能状態

会社名 慶応義塾大学病院
株式情報 非上場
漏洩種別 流出
漏洩対象 Web
漏洩場所 社外
漏洩内容 氏名/住所/生年月日/メールアドレス/電話番号
漏洩件数 4,858件
漏洩日時 2020/1/5~2023/4/28の期間
発表日時 2023/9/28

慶応義塾大学病院にて、管理向けURLの誤公開と設定ミスで個人情報が閲覧可能状態。同院ウェブサイトに掲載していたGoogleフォームの「電話診療による処方箋発行申込フォーム」)での申込を一時休止していたが、申込を再開した際に、誤って回答用のURLではなく管理用のURLを公開していたことにより個人情報が閲覧可能状態となり流出した。

本来は管理用のURLを開いた場合も回答用のフォームが表示されるが、「慶應義塾共通認証システム」にログイン状態で管理用URLを開くと管理用フォームが表示され、同フォームの「回答タブ」を選択して表示を切り替えることで、過去の患者の申込内容が閲覧可能状態になり、同システムのログインに必要な認証システムIDを保有している慶應義塾の教職員や学生、一部の卒業生に閲覧可能であったことにより情報が流出した。

同認証システムのIDを所有する患者からの連絡を受け事態が発覚。原因は本来管理者のみに限定されるべきGoogleフォームの管理権限が、認証システムのID所有者全体についていたことと、申込再開時に誤って管理用URLを公開してしまったことによるもので、同院は当日中に本来の回答用URLへの差し替えならびに管理用フォームのアクセス権限を本来の管理者のみに変更し、管理者以外から管理用URLで同フォームを開けないよう設定変更した。

同院は、本件を国の個人情報保護委員会と東京都福祉保健局ならびに文部科学省に報告し、対象患者にメールにてお詫びと報告を行った。再発防止策として、Googleフォームの管理権限を必ず担当者に限定し、ウェブサイトを編集・公開する際には必ず複数人で内容を確認するとしている。なお、閲覧されたアクセス記録の調査結果によると、いずれの閲覧者も他人の個人情報は取得していないことが確認できており、今回の管理用URLへのアクセスが原因で当該患者に関する個人情報が不正に使用されたという事実は確認・報告されていないとしている。