本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
業務を委託していた企業のサーバーへの不正アクセスが、大学関係者の個人情報漏えいに直結した。学校法人東海大学は今月18日、昨年11月のサイバー攻撃で学生や保護者、教職員など延べ約19万3000人分の情報が漏えいしたと発表し、個人情報に関する問い合わせ窓口を設けた。漏えいしたのは氏名、住所、生年月日、電話番号などで、クレジットカード情報は含まれないとしている。1月時点で悪用被害は確認されていないという。
調査報告書公表 学生・保護者・教職員に波及
テレビ朝日系ニュースによると、調査報告書の公表により、漏えいは学生約7万6300人、保護者約4万5800人、教職員約5万人など最大で約19万3000人規模とされた。対象は大学のネットワークシステム運営などに関わる業務委託先が管理していたサーバーに保管されていた情報だという。
経緯は昨年11月、委託先が運用するサーバーが不正アクセスを受け、ランサムウェア被害が確認されたことに始まる。学校法人東海大学は昨年11月14日の時点で、学内ネットワークへの直接侵入の形跡は確認していないとしつつ、委託先サーバーに置かれていた個人情報が外部へ漏えいした可能性が高いとして調査を続けていた。
運用ルール逸脱 委託先の持ち帰り保管
同ニュースでは、調査の過程で、本来の運用ルールと異なり委託先がデータを大学側から社内へ持ち帰っていたことも明らかになったとしている。委託の範囲や作業手順の管理が、情報保護の実効性を左右した構図だ。
学校法人東海大学は18日付の発表で、専門家の助言を得てデータを精査し、個人情報保護法に基づく本人通知を順次進める方針を示した。連絡先が確認できないなど個別通知が難しい場合は、公表を通知の代替とする。問い合わせはフリーダイヤルで受け付け、データ管理体制の見直しと委託先の管理強化を進めるとしている。
委託先を含む外部環境は、大学が直接統制しにくい一方で、ひとたび侵入経路になると被害規模が一気に広がりやすい。再発防止には、委託先での保管可否や持ち出し手順を契約と運用で縛ることに加え、遠隔保守の入口を前提にした認証強化、ログ監視、権限の最小化を平時から積み上げる取り組みが欠かせない。
