子ども預かり支援サイトで非公開の氏名が閲覧可能になっていることが判明しました。テスト不足によるものです。

Webシステムの設定ミスにより、個人情報が漏えいする事故が後を絶ちません。システムテストは通常、動作確認の観点から行われますが、個人情報保護の観点からのテストが欠けていたことが原因です。システムの発注者や受託者は、テスト設計段階でこの観点を意識してテストを行う必要があります。

以下が事故の内容です。

横浜市が4月2日から運用を開始した横浜市地域子育て支援拠点サイトで、本来閲覧できない会員の氏名が別の会員から閲覧可能な設定ミスが発生しました。業務委託先が開発段階から設定ミスをしており、本番開始前のテストでも見落としていたため、稼働後に会員からの連絡により問題が判明しました。

横浜子育てサポートシステムは、子どもを預ける「利用会員」と預かる側の「提供会員」に関する情報を管理しています。預かり依頼に際して事務局が調整を行う機能があります。通常、調整段階では相手の氏名は依頼が成立するまで非公開ですが、依頼が成立しなかった会員の100人以上の氏名が閲覧可能でした。

表示条件設定の誤りは稼働前のテストで発見されず、再度委託先と点検を行い、不具合が発生しないことを確認しました。その後、5月7日より再稼働させました。対象となる会員には書面を通じて謝罪しています。