本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
山形大学は4月20日、外部委託先のYCC情報システムが保管していた大学保有個人情報について、漏えいのおそれがある事案を公表した。YCC情報システムは4月2日早朝に同社ファイルサーバーがランサムウェア攻撃を受けており、同社調査により、大学が処理委託した個人情報に漏えいのおそれがあることが判明した。
対象データと委託先の経過
山形大学が示した対象データの一例には、「生活健康に関する総合的な調査に係るアンケートデータ」2,486件が含まれる。公表の主眼は、大学のシステムが直接侵害されたというものではなく、委託先サーバーへの攻撃によって、外部で保管されていた大学関係の個人情報に影響が及ぶおそれが生じた点にある。
YCC情報システムは4月3日、6日、7日と自社サイトで状況を順次公表し、4月14日に第四報を出した。第四報では、4月2日早朝にファイルサーバーがランサムウェア攻撃を受けたと説明しており、受託・保管していた情報について漏えいのおそれが生じた取引先に対して、個別に状況説明と必要な対応を進めるとしている。
同じ委託先被害を巡っては、山形県や山形市などでも、YCC情報システムのファイルサーバーがサイバー攻撃を受け、攻撃対象サーバー内に委託業務に係るデータが保管されていたと公表した。委託先に集約された公的データの管理体制が、大学だけでなく地域の行政分野にも関わる問題として浮上している。
残る論点と今後の対応
一方で、大学関係データの総件数や全体の内訳、実際の外部流出の有無、委託先サーバーに保存が続いていた経緯などは、なお公表内容の全容は見えていない。影響範囲の確定には、大学と委託先の追加説明が欠かせない。
今後の焦点は、対象者への通知時期や相談窓口の整備、二次被害防止策の具体化に移る。委託先側の調査が進むなかで、大学としてどこまで影響を切り分け、関係者への周知と支援を進めるかが問われる。
今回の事案は、個人情報の処理を外部に委ねる際、受託先での保管方法やアクセス管理だけでなく、保存期間や破棄の統制まで含めた監督の重さを改めて示した。山形大学とYCC情報システムが、影響範囲の確定と再発防止策をどこまで具体化できるかが今後の焦点となる。
