C
月内に
群馬県立高校の授業見学申込フォームにおいて、設定ミスにより参加申込者の個人情報が外部から閲覧可能な状態になっていたこと
📌 一言でいうと
群馬県立高校の授業見学申込フォームにおいて、設定ミスにより参加申込者の個人情報が外部から閲覧可能な状態になっていたことが判明しました。2025年5月23日から2026年4月24日まで、登録された207件のうち100件の氏名、電話番号、在籍校、学年などが閲覧可能となっていました。外部からの指摘により発覚し、現在は修正および対象者への謝罪が行われています。
🔍該当判定
- GoogleフォームやMicrosoft Formsなどで、回答結果(スプレッドシート等)を「リンクを知っている全員が閲覧可能」に設定して公開している
- 自社サイトに設置した問い合わせ・申込フォームの管理画面や回答一覧ページが、ログインなしで誰でもアクセスできる状態にある
- 外部に公開しているアンケートや申込フォームにおいて、回答者が「他の人の回答内容」を閲覧できる設定になっている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Webフォーム等の公開設定を再確認し、権限管理が適切に行われているか点検すること。特に外部公開フォームにおいて、登録データが意図せず閲覧可能になっていないか検証することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Webフォームの設定ミスによる個人情報漏洩事例について
お疲れさまです。他団体での個人情報漏洩事例に関する情報共有です。
■ 概要
群馬県立高校の申込フォームにおいて、設定ミスにより登録者の個人情報(氏名、電話番号等)が外部から閲覧可能な状態になっていた事例が発生しました。攻撃による侵害ではなく、権限設定の不備による情報露出です。
■ 影響範囲
- 適切に権限管理されていないWebフォーム、クラウドサービス上の公開設定
■ 対応手順
1. 現在運用中の外部向け申込フォームやアンケートフォームの閲覧権限設定を再確認してください。
2. 登録データがURLの直接指定や不適切な権限設定で第三者に閲覧できないか、テストアカウント等を用いて検証してください。
3. 外部ベンダーが提供するフォームを利用している場合は、設定変更履歴や権限設定の仕様を再確認してください。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回定期点検時まで
お疲れさまです。他団体での個人情報漏洩事例に関する情報共有です。
■ 概要
群馬県立高校の申込フォームにおいて、設定ミスにより登録者の個人情報(氏名、電話番号等)が外部から閲覧可能な状態になっていた事例が発生しました。攻撃による侵害ではなく、権限設定の不備による情報露出です。
■ 影響範囲
- 適切に権限管理されていないWebフォーム、クラウドサービス上の公開設定
■ 対応手順
1. 現在運用中の外部向け申込フォームやアンケートフォームの閲覧権限設定を再確認してください。
2. 登録データがURLの直接指定や不適切な権限設定で第三者に閲覧できないか、テストアカウント等を用いて検証してください。
3. 外部ベンダーが提供するフォームを利用している場合は、設定変更履歴や権限設定の仕様を再確認してください。
■ 参考情報
- Security NEXT 記事
対応優先度: 中
対応期限: 次回定期点検時まで
Subject: [Info] Personal Data Leakage due to Web Form Misconfiguration
Dear IT/Security Team,
We are sharing a recent incident regarding a personal data leak caused by a configuration error.
■ Overview
At a Gunma Prefectural high school, a misconfiguration in a class observation application form allowed unauthorized external access to personal information (names, phone numbers, etc.) of applicants.
■ Scope
- Web forms or cloud services with improperly configured access permissions.
■ Recommended Actions
1. Review the access control settings of all currently active external-facing application or survey forms.
2. Verify that registered data cannot be accessed by third parties via direct URL manipulation or incorrect permission settings using test accounts.
3. If using third-party form services, re-verify the permission specifications and configuration history.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Next scheduled audit
Dear IT/Security Team,
We are sharing a recent incident regarding a personal data leak caused by a configuration error.
■ Overview
At a Gunma Prefectural high school, a misconfiguration in a class observation application form allowed unauthorized external access to personal information (names, phone numbers, etc.) of applicants.
■ Scope
- Web forms or cloud services with improperly configured access permissions.
■ Recommended Actions
1. Review the access control settings of all currently active external-facing application or survey forms.
2. Verify that registered data cannot be accessed by third parties via direct URL manipulation or incorrect permission settings using test accounts.
3. If using third-party form services, re-verify the permission specifications and configuration history.
■ Reference
- Security NEXT Article
Priority: Medium
Deadline: Next scheduled audit