フォーム設定不備の概要
2023年9月28日、慶應義塾大学病院が運営するウェブサイトにて提供されていた「電話診療による処方箋発行申込フォーム」の利用者4,858人の個人情報が慶應義塾関係者にアクセス可能な状態になっていたことが明らかになりました。
慶應義塾大学病院より引用:電話診療による処方箋発行申込フォームをご利用いただいた皆様へ 個人情報管理上の不備に関するお詫びとご報告
フォーム設定不備の詳細
この不正アクセス事件の原因は、慶應義塾大学病院が2023年にフォームの設定を行った際に起きた設定ミスと特定されました。誤って回答用URLではなく管理用URLが設定された結果、関係者が特定の方法で管理画面にアクセスすると利用者の本来閲覧できないはずの個人情報が表示可能な状態になりました。
フォーム設定不備により受けた被害と対応
同社の発表によると以下の被害及び対応が発生しています。
1.4,858名の重要個人情報の漏えい
2.所管官庁及び関係各所への報告(個人情報保護委員会、東京都福祉保健局、文部科学省)
3.患者への対応
フォーム設定不備の原因
不正アクセスの原因は、管理用URLの設定ミスと特定により明らかとなりました。具体的には、申込を再開した際に管理用URLが公開され、認証システムのIDを持つ者がURLを開くと、個人情報が含まれる過去の申込内容を閲覧できる状態となってしまいました。
今後の対応
今後は、再発防止のために複数の対策を議論しています。具体的には、設定に誤りがないことを確認するために、ウェブサイトの編集や公開前に必ず複数人で内容を確認するなどの対策が計画されています。また、個人情報保護に関する規程を定めている慶應義塾大学病院では、定期的な研修を行います。
フォーム設定不備の対策とまとめ
Googleフォームは非常に手軽に導入が可能で便利なサービスである反面、単純な設定ミスで本件のようなトラブルを発生させる原因となります。フォーム設定不備を無くすためには今後の対応にも記載されていますが「二重チェック」が非常に有効です。1人だけで進行するとどうしても確認が疎かになり本件のような問題が発生します。
また、本件はフォームの設定ミスでしたがサイト自体の設定ミスはありませんでしょうか?フォームの設定ミスは簡単に見つけることが出来ますがサイトの設定ミスはなかなか見つけることが出来ません。これらの設定ミスは脆弱性に繋がりさらなる問題発生に繋がります。
Googleフォームを利用されている企業はフォームの設定を確認するとともに、自社サイトの脆弱性を診断を合わせて実施することをお薦め致します。
secuasはURLを登録するだけで5分で自社サイトの脆弱性を無料で診断致します。ぜひこの機会にお試しください。
【この記事と関連する記事はコチラ】