eAPRINの成績管理代表者・成績管理者(以下「管理者」)に提供している成績管理画面において、他機関の受講者の情報(受講者の氏名のみ)が含まれて画面に表示されてしまう不具合が発見されました。
2024年5月21日午前に当該不具合を確認し、同日14時に緊急処置を行いました。以降は、他機関の受講者の氏名が表示される不具合は解消しております。
ご利用機関の皆様にご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
以下、詳細について報告いたします。
1.当該機能について
eAPRINの管理者機能である「自動配信日時指定メールの確認(自動配信日時指定メール一覧)」 (以下「本機能」)は、受講者アカウント発行通知のメールをシステムから一括で自動送信するように登録した後、その送信履歴を一覧で表示させる機能です。
本機能のメール一覧の中の「件名」をクリックすると、送信対象者の氏名が表示される画面に遷移いたしますが、その画面の中に他機関の受講者氏名が含まれて表示されてしまう不具合が発見されました。
本機能は2020年11月20日に提供を開始しており、eAPRINの管理者のみが利用できる機能です。そのため、他機関の受講者の氏名が含まれる画面を閲覧した可能性があるのは、一覧を表示する操作を行った管理者の方のみとなります。
2.システム不具合により表示された情報
システムに登録された「受講者氏名(姓名)」のみです。
氏名以外の情報(所属、メールアドレス、受講履歴等)は表示されておりませんでした。
(他機関の受講者氏名をクリックしても、他の情報は表示されない状態でした。)
3.事象と発見経緯
2024年5月21日午前、eAPRIN利用機関の管理者様より、当該画面において「操作した覚えのないアカウント発行履歴がある」というご連絡をいただきました。ご連絡を受け、APRIN事務局にて確認を行ったところ、当該画面において、他機関の受講者の氏名が一覧に含まれて表示されてしまう不具合があったことが判明したため、同日 14時、他機関受講者の氏名が表示されないようにシステムの緊急処置を行うとともに、事象発生条件と原因の究明を開始しました。
4.件数と対応について
前項3の事象にて、実際の画面表示を特定した受講者は19名です。
19名の方につきましては、所属する機関の管理者様へ個別にご連絡を取り、相談のうえ、メールにてお詫びをお送りいたしました。
調査の結果、同様の事象により、理論上、他機関の「メール送信対象者一覧」画面に氏名が表示され得る状態にあった受講者アカウントの数は2,685名でした。
なお、本機能提供開始から5月21日のシステムの緊急処置までに、本件に起因すると思われる問い合わせは、前項3に記載の1件以外はございませんでした。
本事象については、個人情報保護委員会(内閣府外局)およびプライバシーマーク付与審査機関へ報告しており、個人情報保護法のガイドラインに基づき対応を行っています。
5.原因
本機能のプログラム不具合であることが判明しております。
本機能の検索条件の一部に誤りがあり、対象の機関における操作とは無関係な機関の受講者を含めてしまう場合がありました。本機能のみで生じていた不具合であり、他の操作には影響ありません。
- 発生原因として、当該機能の動作検証の網羅性に不十分な点があったことから、システム全体の機能に対して、受講者の状態などを考慮した網羅的な動作検証を改めて実施し、問題ないことを確認しました。
- 今後の確認体制が万全になるよう、機能提供にあたって遵守する証跡、判断基準、検証項目を整備しました。
- 日常のシステム監視に加えて、個人情報のシステム上の取り扱いにおいて確実な運用ができているか、機能と利用事例に対する定期的な点検・見直しを実施し、安全性への取り組みを強化してまいります。
7.本件に関するお問い合わせ
APRIN事務局 専用お問い合わせフォーム
https://aprin.form.kintoneapp.com/public/inquiry202406