患者情報が閲覧可能に、管理者用URLを誤公開 - 慶応大病院

慶応義塾大学病院は、電話診療による処方せんの発行申込フォームにおいて、患者の個人情報を大学関係者が閲覧できる状態だったことを明らかにした。

同院によれば、「新型コロナウイルス感染症」の特例措置を受けて電話診療による処方せん発行を行った際、Googleフォームを利用して設置していた申込フォームで本来非公開とすべきデータを誤って公開していたもの。

2022年末に申し込みを一時休止。2023年1月5日の再開時に回答用のURLではなく、管理用のURLを誤って公開。さらに同大の教職員や学生、一部卒業生が所有するID全体に対してフォームの管理権限が付与されており、同大共通認証システムにログインした状態で管理用URLにアクセスすると、タブを切り替えることで過去の申込内容を閲覧できる状態だった。

2020年5月11日から2023年4月28日までに、電話診療による処方せん発行申込フォームで申し込みをした患者4858人が対象で、氏名、住所、電話番号、生年月日、メールアドレス、診察券番号、次回予約日、受診予定診療科、予約医師名などが含まれる。

4月28日に同システムのIDを所有する患者から連絡があり、問題が判明。同日同院ではURLを差し替え、管理用フォームに対するアクセス権限を本来の管理者のみに変更した。

同院では8月25日に、メールを通じて対象となる患者に経緯を報告して謝罪。個人情報保護委員会と東京都福祉保健局、文部科学省に報告を行った。問題のフォームについては、特例措置の終了にともない、すでに提供を終えている。

（Security NEXT - 2023/10/02 ） ツイート

PR

関連記事

Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ
先週注目された記事（2025年4月20日〜2025年4月26日）
全校生徒の名簿データを第三者へメール誤送信 - 大洲市
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
物流検品システムなどまもなく復旧、物量制限は解除へ - ランテック
コミュニケーションサポーターのメアド流出 - 茨城県国際交流協会
ランサムでシステム障害、配送遅延など影響 - センコーグループ子会社
職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認