フォーム設定ミスで68人分の個人情報が筒抜け——東京都の歴史建造物アプリで約2カ月間

東京都が管理を委託している歴史建造物の探訪型クイズアプリで、イベント申込フォームの設定ミスにより個人情報が流出する事案が発生しました。約2カ月間にわたり、申込者の個人情報が他の利用者から閲覧できる状態となっていたことが2月26日に報じられました。

約2カ月間、68人分の個人情報が閲覧可能状態に

問題が発生したのは、東京都が委託業者のホーンに管理を委託している「東京歴建Oh!クエスト」という東京都選定歴史的建造物の探訪型クイズアプリです。このアプリのイベント申し込みフォームにおいて、2025年12月26日11時から2026年2月12日7時ごろまでの約1カ月半にわたり、フォームの閲覧権限に関する設定ミスが発生していました。

この設定ミスにより、特定の操作を行うことで申込者68人分の個人情報が、別の申込者から閲覧できる状態となっていました。流出した情報には、氏名、ニックネーム、生年月日、メールアドレスが含まれています。

問題は2月12日に申込者からの指摘により発覚しました。申込者が委託業者にメールで連絡したことで事態が判明し、直ちに個人情報を閲覧できないよう設定が修正されました。東京都は問題の判明を受けて、対象となる申込者全員にメールで説明と謝罪を行ったとのことです。

Webフォームの権限設定における課題

今回の事案は、Webフォームやデータベースの権限設定における典型的な問題の一つです。一般的にWebアプリケーションでは、ユーザーが自分の情報のみを閲覧できるよう、適切なアクセス制御を実装する必要があります。しかし、設定ミスや実装の不備により、他のユーザーの情報が閲覧可能になってしまうケースが後を絶ちません。

特にイベント申込フォームのような複数のユーザーが利用するシステムでは、データベースの設計段階から適切な権限分離を考慮し、定期的なセキュリティチェックを実施することが重要とされています。また、システム運用開始前のテストにおいて、異なるユーザー権限での動作確認を徹底することが基本的な対策として推奨されています。