日本政策金融公庫(日本公庫)は、主催する「高校生ビジネスプラン・グランプリ」の応募受付システムにおいて設定不備があり、応募登録者の個人情報が漏えいしたと発表しました 。10月3日の第一報 に続き、11月14日には詳細な調査結果を公表し 、関係者に改めて謝罪しました 。
11月14日(金) 日本政策金融公庫
「高校生ビジネスプラン・グランプリ」応募者情報の 漏えいに関するお詫びとお知らせ(続報)
10月3日(金) 日本政策金融公庫
「高校生ビジネスプラン・グランプリ」応募者情報の 漏えいに関するお詫びとお知らせ
日本公庫によりますと、2025年9月25日に応募登録者から「他の教員や生徒の個人情報が閲覧できる状態になっている」との報告を受け、問題が発覚しました 。
調査の結果、2015年度のシステム導入時や、2021年度および2023年度のシステム改修時に、検索機能に関する設定不備が発生していたことが原因と判明しました 。この不備により、同じ「学校名」で登録した他の応募登録者や、特定のフラグ(「該当なし(都道府県)」)を使用して登録した他校の応募登録者の個人情報が、相互に閲覧できる状態になっていました 。
実際に6名分の個人情報(氏名、メールアドレス、学校名、住所、電話番号など)が漏えいしたことが確認されています 。さらに調査を進めた結果、同じ学校内や特定の登録方法を用いた応募者の間で、最大で延べ数千名分の個人情報が閲覧される可能性があったことが明らかになりました 。
日本公庫は、問題が判明した9月25日のうちにシステムを修正し、現在は個人情報が漏えいしないよう対処済みであるとしています 。
11月14日の発表時点で、漏えいした情報の不正利用や二次被害は確認されていないとのことです 。日本公庫は、「今後はシステムの開発や改修にあたり、設計段階から確認を徹底するなど再発防止を徹底してまいります」とコメントしています 。
※タイトルと要約、イメージは、AI(Gemini)が生成したものをベースにしています。
本事案が発生した応募受付システムは、SalesforceのExperience Cloud(旧Community Cloud)を使用して構築されていて、その設定に誤りがあったと推測されます。
この応募受付システムは、株式会社ウフルが開発・運用しているもので、設定等についてもウフルが管理していると考えられます。
※今年度は随意契約(業務の履行可能な者が1者)になっています。
株式会社ウフルは2006年に設立された、企業のデジタルトランスフォーメーション(DX)やデータ活用を支援するシステムインテグレーターです。
特に、Salesforceの導入支援や、IoTソリューション、スマートシティ関連の事業に強みを持っています。
