患者情報が閲覧可能に、管理者用URLを誤公開 - 慶応大病院

慶応義塾大学病院は、電話診療による処方せんの発行申込フォームにおいて、患者の個人情報を大学関係者が閲覧できる状態だったことを明らかにした。

同院によれば、「新型コロナウイルス感染症」の特例措置を受けて電話診療による処方せん発行を行った際、Googleフォームを利用して設置していた申込フォームで本来非公開とすべきデータを誤って公開していたもの。

2022年末に申し込みを一時休止。2023年1月5日の再開時に回答用のURLではなく、管理用のURLを誤って公開。さらに同大の教職員や学生、一部卒業生が所有するID全体に対してフォームの管理権限が付与されており、同大共通認証システムにログインした状態で管理用URLにアクセスすると、タブを切り替えることで過去の申込内容を閲覧できる状態だった。

2020年5月11日から2023年4月28日までに、電話診療による処方せん発行申込フォームで申し込みをした患者4858人が対象で、氏名、住所、電話番号、生年月日、メールアドレス、診察券番号、次回予約日、受診予定診療科、予約医師名などが含まれる。

4月28日に同システムのIDを所有する患者から連絡があり、問題が判明。同日同院ではURLを差し替え、管理用フォームに対するアクセス権限を本来の管理者のみに変更した。

同院では8月25日に、メールを通じて対象となる患者に経緯を報告して謝罪。個人情報保護委員会と東京都福祉保健局、文部科学省に報告を行った。問題のフォームについては、特例措置の終了にともない、すでに提供を終えている。

（Security NEXT - 2023/10/02 ） ツイート

PR

関連記事

「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
県サイト資料に非公開の個人情報、マスキング未処理 - 静岡県
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
自治体委託イベントの申込フォームに不備 - 個人情報が閲覧可能に
サイバー攻撃被害が判明、内部情報へアクセスされた痕跡 - BBT
個人情報含む記憶媒体紛失、教諭2人を懲戒処分 - 北海道
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局