学校・教育業界における情報漏洩事件5件
目次
教育業界の情報漏洩事件件数
デジタル技術の発展やITの普及に伴い、個人情報を取り扱う機会の多い企業や組織における情報漏洩リスクは年々高まっています。特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が2019年に公開した「2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~」によると、2018年の個人情報漏洩件数は561万3,797人、漏洩件数は443件にのぼります。業種別に見てみると、教育・学習支援業は101件となっており、全体の22.8%に当たります。前年の調査では60件だったことから、1年間で情報漏洩件数が大幅に増加していたことが分かります。
参照:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)
教育業界の情報漏洩事件5件
IT化やクラウド化が進むなか、教育業界における情報漏洩事件や事故は毎年のように発生しています。ここでは、近年発生した5件の情報漏洩事件を見てみましょう。
1. ベネッセ|顧客情報持ち出し事件
株式会社ベネッセコーポレーションの業務委託先元社員は、同社の管理するデータベースから顧客の個人情報を不正に持ち出したうえ、名簿業者3社へ売却していたとして、2014年7月17日、警視庁に逮捕されました。持ち出された個人情報は約3,504万件ですが、実際に被害に遭った人数は約2,895万件と推計されます。
これを受け同社は、2014年8月4日付で「お客様本部」を設置し、漏洩した情報を利用していると確認できた事業者に対して利用停止などの働きかけを行いました。また、管理体制やセキュリティ強化を重点的に行う旨の改善報告書を2014年10月24日、経済産業省へ提出しました。
教育業界の企業の取り扱う個人情報は膨大な量であり、情報漏洩が起こった際の被害も甚大です。業務委託先も含めた組織全体のセキュリティルールを見直すとともに、機密情報を保護するセキュリティソフトなどの導入によって、情報漏洩リスクを未然に防ぐ体制づくりが重要になります。
参考:事故の概要 | お客様本部について | ベネッセお客様本部
2. 大阪大学|不正アクセス事件
大阪大学は2017年12月13日、同大学情報システムへの不正アクセスにより、教職員と学生を含む最大8万1,107件の個人情報が漏洩した可能性があると明らかにしました。システム管理者権限を持たない教員のIDとパスワードを利用して何者かが情報システムへログインし、システム内に不正プログラムを仕掛け、管理者権限を持つIDとパスワードを盗んだということです。その後、管理者権限を持つIDとパスワードでシステムへログインされ、利用者情報が不正に持ち出されていました。
これを受け大学側は、全利用者のパスワードを強制変更するとともに、パスワードルールや制限、アクセス権の強化などの対策を実施しました。大学のような研究機関では、膨大な個人情報や研究データを日常的に扱っているにもかかわらず、情報セキュリティ対策を専門とする部署や担当者が不在だったり、セキュリティポリシーが十分の機能していないなど、セキュリティ対策が不十分なところも少なくありません。守るべき情報に優先順位をつけ、早急に対策を実施することが大切です。
参考:公表資料 | 大阪大学
3. 佐賀県の県立学校|不正アクセス事件
佐賀県の県立学校では2016年6月27日、外部からの不正アクセスにより、生徒や保護者、教職員の個人情報を含むファイル約15万3,000件が漏洩していたことが明らかになりました。捜査の結果、情報漏洩が見つかったのは県立学校の校内LAN上にある校務用サーバー、学習用サーバー、さらに県立学校で共用するクラウド型の教育情報システム「SEI-Net」で、17歳の少年が不正アクセスの疑いで逮捕されました。
これを受けて県は、第三者によるセキュリティ対策検討委員会を立ち上げ、本件の問題の検証や原因究明とともに、効果的な再発防止策についての検討を行いました。本件の問題点として、システムに脆弱性が存在していたこと、また複数の高校でシステム管理者情報が生徒も閲覧できる状態になっていたことが挙げられます。運営者や教職員のなかで、個人情報保護や情報セキュリティに対する十分な認識や危機意識の共有が行われていなかったことが、本件のような情報漏洩事件の起きてしまった原因と言えるでしょう。
システムの共用利用には、強固なセキュリティ対策を実施するとともに、利用者に対してセキュリティ教育を実施し情報漏洩リスクに対する注意喚起を行うことが大切です。
参考:「佐賀県学校教育ネットワークセキュリティ対策実施計画」を策定しました|佐賀県教育委員会
4. 埼玉大学|メール誤送信事件
埼玉大学は2022年11月21日、同大学所属の教員が誤ったメールアドレス宛に電子メールを転送した結果、学内外の個人情報2,122件が流出した可能性があることを明らかにしました。教員は2021年5月6日、大学のメールアカウントからGmailへの転送設定を行う際、本来「@gmail.com」と入力するところを「@gmai.com」に設定してしまっていたということです。
問題発生から発覚まで1年以上の期間を要した原因は、転送先として指定した「@gmai.com」がドッペルゲンガー・ドメイン(※注)であったため、存在しないメールアドレス宛への転送でエラーなどが返されず、転送設定ミスに気づけなかったということです。
パソコンやスマートフォン利用時のタイピングミスは誰もが起こす可能性のあるリスクですが、本件でとりわけ問題なのは、業務にかかわるメールを個人アカウントへ自動転送する設定を行った点でしょう。個人情報を含んだ業務メールやファイルを外部へ持ち出す場合には誤送信や紛失などのリスクがあるため、必要なもの以外は極力持ち出さない、持ち出す場合にはパスワードや暗号化処理をかけるなどの対策が必要です。
※注:ドッペルゲンガードメインとは、タイピングミスによるメールの誤送信を誘い、フィッシングサイトへ誘導するなどの目的で作られるドメインのこと
5. 中津川市(岐阜県)の市立保育園|SDカード紛失事件
岐阜県中津川市の市立保育園では2022年10月20日、保育士が個人情報を含むSDカード1枚を紛失し、保護者へ謝罪していたことが明らかになりました。SDカードには、担当しているクラスの園児7人の活動写真、約200枚が記録されていました。保育士は帰宅途中に市内のカメラ店でSDカード内の写真を現像し、他店へも立ち寄った後で確認したところ、紛失に気付いたということです。
スマートフォンやデジタルカメラで写真を撮る機会は多いですが、写真は個人情報であり、取り扱いには十分に注意を払う必要があります。本件の問題は、業務時間外である帰宅途中に写真(個人情報)を取り扱ったこと、また複数のデータを含んだ記録媒体を外部へ持ち出したことにあります。園は再発防止策として、SDカードの外部への持ち出しを基本的に禁止するとし、臨時園長会において個人情報やセキュリティ管理を徹底することを決めています。
参考:園児の写真を保存したSDカードの紛失について|中津川市教育委員会
【教育業界】情報漏洩の原因と対策
ご紹介してきた情報漏洩事件を踏まえ、考えられる原因と、どのように対策をすれば漏洩を防げるのかを見ていきましょう。
1. 個人情報の含まれるものを外部へ持ち出している
個人情報を漏洩しないための効果的な手段の一つは、情報を外部へ持ち出さないことです。しかし、学校などの教育現場では自宅へ持ち帰って行う作業も多く、個人情報を簡単に外部へ持ち出せてしまうことが大きな問題と言えます。
個人情報を含むものとそうでないものを分け、漏洩リスクのあるものは極力外部へ持ち出さないよう努めましょう。もし外部へ持ち出す必要がある場合には、データにパスワード設定や暗号化処理を施すなど、万が一に備えて対策を行っておくことも大切です。
2. 情報セキュリティに対する意識やシステムの正しい利用方法が浸透していない
情報システムを利用する際には、正しい利用方法やセキュリティに対する意識を利用者全員で共有しておかなければなりません。しかし、学校の教職員などのなかには情報セキュリティに対する意識が高くないという人もいるため、意図しない誤操作によって情報漏洩を起こしてしまうケースがあります。
個人情報を取り扱う場合には、個人情報保護に関する教育や情報セキュリティ教育を徹底し、関連するすべての人の意識を高めることが大切です。
3. 情報セキュリティ管理の専門部署や専門家が存在しない
企業であれば情報システム専門の部署などが存在しますが、教育機関のなかにはそのような部署や専門家がそもそも存在しないケースがあります。そのため、情報セキュリティに関して何らかのトラブルがあっても適切に対応できなかったり、問題を検知するのが遅れてしまうことにもつながってしまいます。
個人情報を取り扱う際には、情報セキュリティポリシーなどのルール策定とともに、個人情報やセキュリティに関する仕組み作りと、責任の所在を明らかにすることが大切です。
まとめ
教育業界は個人情報を取り扱う機会が多く、ひとたび情報漏洩事件を起こしてしまえば、社会的な信用の失墜はもちろん、将来的な組織運営に多大な影響を及ぼしかねません。
常日頃から情報漏洩リスクに備えて対策を検討し、不十分な場合にはセキュリティポリシーの見直しや管理体制の強化、セキュリティシステムの導入などの追加対策を行いましょう。
