「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解

[樋口隆充，ITmedia]

　東京都福祉保健局が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」（キントーン）を開発したサイボウズは4月27日、kintone自体に不具合や脆弱性はないと発表した。

サイボウズの「kintone」

　同局は、医療従事者向けワクチン予約サイトのシステムの一部に、業務アプリ作成サービスであるキントーンを採用している。サイボウズによると、都の予約サイトはキントーンと別会社のシステムを相互にAPI接続する形で構成。このうち、キントーンでは医療従事者27万人の個人情報と、予約者情報を保管していたという。入力フォームの情報とキントーン上の登録情報が合致すれば予約できる仕組みだ。

都の予約システムのイメージ図

　サイボウズは問題の原因について「キントーンではなく、受け付けフォームとワクチンの摂取資格確認プロセスに関する不具合だ」としている。

　都のワクチン予約サイトでは、26日の受付開始直後にアクセスが集中し、つながりにくい状態にもなっていた。これについてもサイボウズは「キントーンへデータが入る前の段階で発生していたと認識している」として、キントーン由来の問題ではないとする見解を示した。

サイボウズの公式見解

原因は委託事業者の設計ミスか

　複数の関係者へ取材したところ、個人情報が閲覧できる状態だった不具合については、都から委託を受けた事業者であるデジタルガレージ（東京都渋谷区）のシステム設計に問題があったようだ。短納期の中、同社がシステム開発に採用したのがキントーンだったという。

　個人情報に関する問題を受け、都福祉保健局は、医療従事者のワクチン接種のWeb予約を停止。電話のみで予約を受け付けている。都福祉保健局の担当者は「遅くとも連休明けには復旧させたい」としている。接種が遅れるなどの影響はないという。