患者情報が閲覧可能に、管理者用URLを誤公開 - 慶応大病院

慶応義塾大学病院は、電話診療による処方せんの発行申込フォームにおいて、患者の個人情報を大学関係者が閲覧できる状態だったことを明らかにした。

同院によれば、「新型コロナウイルス感染症」の特例措置を受けて電話診療による処方せん発行を行った際、Googleフォームを利用して設置していた申込フォームで本来非公開とすべきデータを誤って公開していたもの。

2022年末に申し込みを一時休止。2023年1月5日の再開時に回答用のURLではなく、管理用のURLを誤って公開。さらに同大の教職員や学生、一部卒業生が所有するID全体に対してフォームの管理権限が付与されており、同大共通認証システムにログインした状態で管理用URLにアクセスすると、タブを切り替えることで過去の申込内容を閲覧できる状態だった。

2020年5月11日から2023年4月28日までに、電話診療による処方せん発行申込フォームで申し込みをした患者4858人が対象で、氏名、住所、電話番号、生年月日、メールアドレス、診察券番号、次回予約日、受診予定診療科、予約医師名などが含まれる。

4月28日に同システムのIDを所有する患者から連絡があり、問題が判明。同日同院ではURLを差し替え、管理用フォームに対するアクセス権限を本来の管理者のみに変更した。

同院では8月25日に、メールを通じて対象となる患者に経緯を報告して謝罪。個人情報保護委員会と東京都福祉保健局、文部科学省に報告を行った。問題のフォームについては、特例措置の終了にともない、すでに提供を終えている。

（Security NEXT - 2023/10/02 ） ツイート

PR

関連記事

メールを「CC」送信で学生のメアド流出 - 神戸外大生協
国内外子会社が相次いでサイバー攻撃の被害 - ジャノメ
京都市内で顧客預託書類632件を発見、経緯不明 - 日本郵便
プラネックス製モバイルルータ「ちびファイ4」に脆弱性
システム障害が発生、原因や影響を調査 - 黒金化成
「JVN iPedia」の脆弱性登録、2四半期連続で1万件超
「Docker Compose」にパストラバーサル脆弱性 - 修正版を公開
「Firefox」にセキュリティアップデート- UAF脆弱性を修正
資産管理製品「IBM MAS」に深刻な脆弱性 - 修正を強く推奨
製造業向けシステム「DELMIA Apriso」の脆弱性攻撃に注意 - 直近3カ月で3件