患者情報が閲覧可能に、管理者用URLを誤公開 - 慶応大病院

慶応義塾大学病院は、電話診療による処方せんの発行申込フォームにおいて、患者の個人情報を大学関係者が閲覧できる状態だったことを明らかにした。

同院によれば、「新型コロナウイルス感染症」の特例措置を受けて電話診療による処方せん発行を行った際、Googleフォームを利用して設置していた申込フォームで本来非公開とすべきデータを誤って公開していたもの。

2022年末に申し込みを一時休止。2023年1月5日の再開時に回答用のURLではなく、管理用のURLを誤って公開。さらに同大の教職員や学生、一部卒業生が所有するID全体に対してフォームの管理権限が付与されており、同大共通認証システムにログインした状態で管理用URLにアクセスすると、タブを切り替えることで過去の申込内容を閲覧できる状態だった。

2020年5月11日から2023年4月28日までに、電話診療による処方せん発行申込フォームで申し込みをした患者4858人が対象で、氏名、住所、電話番号、生年月日、メールアドレス、診察券番号、次回予約日、受診予定診療科、予約医師名などが含まれる。

4月28日に同システムのIDを所有する患者から連絡があり、問題が判明。同日同院ではURLを差し替え、管理用フォームに対するアクセス権限を本来の管理者のみに変更した。

同院では8月25日に、メールを通じて対象となる患者に経緯を報告して謝罪。個人情報保護委員会と東京都福祉保健局、文部科学省に報告を行った。問題のフォームについては、特例措置の終了にともない、すでに提供を終えている。

（Security NEXT - 2023/10/02 ） ツイート

PR

関連記事

中学校でサポート詐欺被害、端末内部に個人情報 - 石垣市
サーバ管理ソフトの脆弱性突かれ、不正アクセス被害 - アイコムソフト
国内ISPのメールアカウント乗っ取りに注意 - 便乗攻撃にも警戒を
メッセージアプリが標的、要人狙う露フィッシング - 米当局
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
メルアカに不正アクセス、個人情報流出の可能性 - オークション事業者
4部署で公文書ファイルが所在不明、誤廃棄の可能性 - 三重県
患者向けの台風注意喚起メールで誤送信 - 磐田市立病院
VPN経由でサイバー攻撃、ランサム被害が発生 - D&M
「GitLab」にセキュリティ更新 - 脆弱性13件を修正