Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

医療者向け会員サービスで個人情報が閲覧可能に - 権限設定ミス

ウェブ講演会の配信サービスを手がける木村情報技術は、会員制の医療者向けウェブサービスにおいて、一部アカウントから会員の個人情報が閲覧可能な状態になっていたことを明らかにした。

同社によれば、会員制の医療者向けウェブサービス「AI-PHARMA」における不具合が2025年11月7日に確認されたもの。

同サービスの会員16人が本来アクセスできない管理画面にアクセスすることが可能となり、会員最大230人の氏名やメールアドレスを閲覧できる状態だった。

アップデートにともない、本来はアカウントの所属情報と権限情報を更新すべきところ、所属情報のみ更新したため、不適切な権限が設定された状態になったという。

問題の発覚を受けて同社では謝罪。個人情報を閲覧した可能性がある16人と連絡を取り、閲覧した情報を記録していないことを確認したという。あわせて閲覧された可能性がある会員にメールで連絡を取っている。

今後は、動作検証を必須とする運用ルールを設け、事業管理体制の強化を徹底し、再発防止に取り組むとしている。

(Security NEXT - 2025/11/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ボランティア情報含むページが閲覧可能に - 千歳JAL国際マラソン
プロジェクト申込フォームで設定ミス、既存回答が閲覧可能に - NPO法人
都事務システムで権限設定不備 - 個人情報が閲覧可能に
県立高の授業見学申込フォームで個人情報が閲覧可能に - 群馬県
画像診断委託先でクラウド設定ミス、患者情報が閲覧可能に - マツダ病院
開示文書の墨塗り個人情報、出力ミスで参照可能に - 北九州市
公開ファイルの非表示部分に個人情報が残存 - 東京都障害者スポーツ協会
大阪マラソンのボランティアシステムで個人情報流出 - 認証を誤ってオフに
中学校で採点済み答案用紙のURLをメールで誤送信 - 小平市
市サイトに住民の個人情報含むファイルを掲載 - 嘉麻市