患者情報が閲覧可能に、管理者用URLを誤公開 - 慶応大病院

慶応義塾大学病院は、電話診療による処方せんの発行申込フォームにおいて、患者の個人情報を大学関係者が閲覧できる状態だったことを明らかにした。

同院によれば、「新型コロナウイルス感染症」の特例措置を受けて電話診療による処方せん発行を行った際、Googleフォームを利用して設置していた申込フォームで本来非公開とすべきデータを誤って公開していたもの。

2022年末に申し込みを一時休止。2023年1月5日の再開時に回答用のURLではなく、管理用のURLを誤って公開。さらに同大の教職員や学生、一部卒業生が所有するID全体に対してフォームの管理権限が付与されており、同大共通認証システムにログインした状態で管理用URLにアクセスすると、タブを切り替えることで過去の申込内容を閲覧できる状態だった。

2020年5月11日から2023年4月28日までに、電話診療による処方せん発行申込フォームで申し込みをした患者4858人が対象で、氏名、住所、電話番号、生年月日、メールアドレス、診察券番号、次回予約日、受診予定診療科、予約医師名などが含まれる。

4月28日に同システムのIDを所有する患者から連絡があり、問題が判明。同日同院ではURLを差し替え、管理用フォームに対するアクセス権限を本来の管理者のみに変更した。

同院では8月25日に、メールを通じて対象となる患者に経緯を報告して謝罪。個人情報保護委員会と東京都福祉保健局、文部科学省に報告を行った。問題のフォームについては、特例措置の終了にともない、すでに提供を終えている。

（Security NEXT - 2023/10/02 ） ツイート

PR

関連記事

教員がサポート詐欺被害、NAS内の個人情報が流出か - 山形大付属中
市バスのドラレコ映像が保存されたUSBメモリが所在不明 - 川崎市
がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意