情報処理推進機構(IPA)は2018年3月13日、ITパスポート試験の団体申し込みにおいて個人情報の漏洩があったと発表した。同試験を申し込んだ二つの団体の間で、互いの申込者の情報が漏れてしまったという。
不具合があったのはITパスポート試験の団体申込者が利用するシステム。このシステムには、申込者の情報を記載したCSVファイルを生成してダウンロードする機能がある。同年2月26日に二つの団体申込者がこの機能を同時に利用したところ、これら二つの団体の情報が合わさった情報がそれぞれの団体申込者にダウンロードされてしまった。
IPA広報によると、原因は複数のユーザーが同時にアクセスした際の排他制御がシステムから抜け落ちていたことだという。CSVファイル生成のリクエストがあった際には単一のファイルしか生成しないため、二つの団体申込者の両方の情報が記載されたファイルが生成され、それぞれの団体申込者がダウンロードできる状態になった。
具体的には、「団体申込者Aの未受験者の情報17件、既受験者の情報47件、未使用のチケットの番号7件」が団体申込者Bに漏洩した。逆に「団体申込者Bの未受験者の情報62件、未使用のチケットの番号4件」が団体申込者Aに漏洩した。未受験者の情報は、受験申込者の受験番号、氏名、受験日、受験料金の支払いに用いるチケット番号。既受験者の情報は、成績や合格証書番号など。チケットはプリペイド式で、未使用のチケットを受験者に割り当てることで受験が可能になる。
その日のうちに、ITパスポート試験の実施やシステム運用を含む運営業務の委託先である日立製作所に対し、これら二つの団体申込者から「ダウンロードされた情報に異常がある」との連絡があったという。IPAは日立製作所から報告を受けた。
IPAは後日、二つの団体申込者を直接訪問し、漏洩した情報が破棄されていることを確認したという。システムの不具合は同年3月5日に改修した。
[IPAの発表資料]
