令和5年11月29日
志願者の皆様へ
学校法人 古沢学園
専門学校 福祉リソースカレッジ広島
校長 山口 浩二
本校利用の出願システム運営会社における個人情報の漏洩に関するお詫びとお知らせ
この度、専門学校福祉リソースカレッジ広島(以下、本校という。)で利用している「インターネット出願システム」の運営会社である株式会社ユニバーサル・サポート・システムズ(以下、同社という。)より、本校志願者のうち2名の個人情報が、特定の時間帯において、通常操作のログイン以外のシステム上の『ある特定の条件下』に限り、閲覧可能な状況にあったとの報告がございました。
今回の事態により関係各位に対して多大なご迷惑とご心配をおかけし、深くお詫び申し上げます。
なお、同社による調査の結果、本校における不正なアクセスや個人情報の不正利用などの事実は確認されていません。
1. 事象
本校と同じインターネット出願システムを使用する全国の学校において、志願者がログインを行いアクセスした際、他の志願者(異なる学校の志願者を含む。)の個人情報が閲覧可能な状況であった時間帯が生じてしまうという事態が発生しました。また、この他、他校において、同システムの学校管理者が、自校の出願管理画面にアクセスしようとした際に、他の学校管理者の出願管理画面が閲覧できてしまうという事態も併せて発生しました。
なお、本学園の設置する専門学校6校も同システムを使用しており、本事象は専門学校広島工学院大学校でも4名発生しています。本校(専門学校 福祉リソースカレッジ広島)と専門学校 広島工学院大学校を除く4校では、本事象は発生しておりません。
2. 本校における対象個人情報
(1)対象件数:2 件(※(2)の対象期間内にアクセスをした志願者に限る。)
(2)対象期間:2023年10月26日(木)11時00分〜15時41分
(3)対象項目:氏名、 本人氏名、写真、性別、生年月日、現住所、保証人氏名、保証人住所、電話番号、出身高校、卒業年月
3. 発生要因
2023年10月26日の11時00分から11時30分の間に、外部からサーバー攻撃対策としてAWSWAFの再設定の保守作業を同社が行っていたが、その際にキャッシュ機能の利用を有効に設定したことにより、同時間帯にログインした志願者のCloudFrontのキャッシュに保持されている情報が閲覧可能な状況となってしまった。
4. システムの対応状況
同社より、2023年10月26日(木)15時41分にキャッシュ機能を無効に設定し直したことで、不具合は解消しその後は正常に動作していると報告を受けています。
5. 対策
今回の情報漏洩の原因となった同社には、厳格な情報管理と改善を求めます。
6. 皆様へのお願い
今回の個人情報漏洩は、システム運営会社の人為的ミスに起因するものであります。
同社の検証の結果、閲覧が可能となっていた時間内であっても、正常のログインを行った場合は、システムは正常に作動しており、正常のログイン以外の『ある特定の条件下』に限り、他の志願者の個人情報が閲覧のおそれがある時間帯が生じました。また、この『ある特定の条件下』については解明できなかったとのことです。
しかしながら、同社の報告によると、本校においては、外部からの不正アクセスは確認できなかったため、個人情報が不正利用される可能性は極めて低く、またサーバーへのアクセスは拒否されるため、写真等の実データの漏洩はなく、またクレジットカード情報については同出願システム内に保存されていないため、今回の事故で見られることは一切ないとのことです。
なお、対象時間帯に個人情報の閲覧が可能な状況下にあった2名の志願者の方には既にご報告させていただいております。
株式会社ユニバーサル・サポート・システムズ 最終報告書
◎株式会社ユニバーサル・サポート・システムズ 最終報告書
情報漏洩インシデントの報告(キャッシュ情報のミスヒット発生の件)
【本件に関するお問い合わせ先】
学校法人古沢学園
学園本部事務局 総務課
TEL(082)247-3700
