日本国内大学における情報漏洩事故と分析

上繁（2012）によると、長崎大学ではInformation Security Management System（ISMS）

を構築し、その運用項目として学内関係者へのセキュリティ教育を実施した。学部一年次 の全入学者1588名へのアンケートを行い、スマートフォンやタブレットなどトレンドのデ バイスに関する理解は不十分であり、関連のセキュリティ専門用語の知識は欠如している という結果を報告した。

上田（2011）は、徳島大学内においてISMSによるセキュリティ評価基準を導入した内容 について報告している。

市川（2009）によると、山口大学でもISMSの構築と運用のプロセスを紹介し、組織とし て取り組む考え方を提示している。

田島（2014）は、学内IT環境に対する脆弱性診断の実施方法や診断システムの構築と運 用について詳しく報告している。

成澤（2006）は、私立大学も「個人情報取扱事業者」の条件を満たすことや世論の影響 からその対応が課題であると認識し、大学独自の個人情報保護規定の制定の必要性からそ の制定を実際に実施し報告している。

永井（2008）はセキュリティ対策をするためのコストについて、従来の国立大学では個 別の作業毎に人件費などの事故コストを定量的に把握する習慣がないため，コスト定量化 の仕組みを新たに策定することを提案している。このように一部の大学で積極的にセキュ リティ対策に関する取組が行われているが、まだ一部の大学に過ぎない。例えばISMSを導 入している大学は全大学のわずか1.8%（784校中14校）に留まっている。この数値はISMS 認証取得組織検索¹⁷を用いて筆者が独自に算出した数値である。

その結果を反映するかのように日本国内の大学でも情報漏洩事故が多発している。

日本国内大学において発生した情報漏洩事故¹⁸30件（2013年9月から2015年1月）について 発生箇所、脅威種別、技術難易度、どの業務過程で発生したか、業務に携わっていた人物 の観点で整理した結果を表5-2に示した。

63

表5−2 日本国内大学における情報漏洩事故一覧

No 年 内容 発生

個所

脅威種 別

技術 難易 度

業務 人 物

1 2015/1 教員が出張先のマレーシアにおいて学生 39 人分の個 人情報を保存した USB メモリを紛失

大阪市 立

紛失

（USB）

※海外

低 研究活動 教 員

2 2015/1

2013 年春の健康診断時に撮影した学生 9336 人分の胸 部レントゲンフィルムが所在不明。191 人分のフィル ムについては氏名と学籍番号が特定できる状態

慶應義

塾 紛失 低 保健管理 職 員

3 2014/12 フィシングメールにより多くの本学ユーザの ID/PW が搾取

同志社 大学

フィッシ ングメー ル

高 教務 学 生

4 2014/12

教員採用選考の応募者情報が保存された USB メモリ が所在不明。教員採用選考の応募者に関する氏名、

住所、電話番号、生年月日など、17 人分の個人情報 を保存

宮崎大 学

紛失

（USB）

※海外

低 就職 職 員

5 2014/12

行政文書の公開請求を受け 12 月 19 日に請求者に対 し公開を行った文書内に個人情報が含まれていると の指摘を受けたため文書の公開を停止

新潟県 立看護 大学

対策不備 低 渉外 職 員

6 2014/11

同大医学部保健学科の教員が利用していたネットワ ーク接続型のハードディスク（NAS）に個人情報が保 存されていたが、パスワードを設定しておらず外部 から閲覧可能

秋田大

学 対策不備 低 教務 教 員

7 2014/10

学内作業をアルバイトとして依頼した 105 名に事務 連絡をする際に誤って 2634 名分の学生の氏名、住 所、電話番号、メールアドレスを含んだメールを誤 送信

龍谷大 学

対策不備

（メール 誤送信）

低 教務 職 員

8 2014/10 教員が出張先のスペインで学生のべ 277 人分の個人 情報を保存したハードディスクが盗難

大阪市 立

盗難 ※

海外 低 教務 教

員

9 2014/9

教員が 2000 年から 2013 年の間に担当した 3 科目の受 講者に関する氏名や成績などの情報が保存されてい たパソコンが海外で盗難

上智 盗難 ※

海外 低 教務 教

員

10 2014/9

システム情報科学研究院の教授が担当する 3 科目の 講義を過去 3 年間に履修した学生、および卒業生約 400 人の氏名と点数、さらに国内外の大学、研究所、

企業の研究者約 300 人の氏名と連絡先、送受信メー ルなどの個人情報が保存されていたパソコンがスウ ェーデンの国際会議中に盗難

九州大 学

盗難 ※

海外 低 教務 教

員

11 2014/6

職員が日本学生支援機構奨学金の申請者 181 人に対 して、6 月から奨学金の支給が開始される 172 人分の 学生の氏名や生年月日、学年、学籍番号、奨学生番 号などが記載されていたメールを誤送信。

横浜市 立

対策不備

（メール 誤送信）

低 奨学金 職 員

12 2014/5

保健管理室へ相談に訪れた学生や教員など 58 人の氏 名や性別、学部、学籍番号、相談区分などが記録さ れていた USB が紛失

広島市 立

紛失

（USB） 低 保健管理 職 員

13 2014/4

同大教授が、大学からネットワーク接続に対応した ハードディスクを自宅に持ち帰り、使用していたと ころ、セキュリティ設定に問題があり、インターネ ット経由で学生 4 万 7 千人の個人情報が検索サイト で閲覧可能

千葉大

学 対策不備 低 教務 教 員

64

No 年 内容 発生

個所

脅威種 別

技術 難易 度

業務 人 物 14 2014/3 学生 1824 人に誤って学生 20 人分の休学・退学情報

をメールに添付し送信

明治薬 科大学

対策不備

（メール 誤送信）

低 教務 職 員

15 2014/3

医学系研究科のサーバーのセキュリティ設定がデフ ォルトのままであり研究のため保有していた検査デ ータ 356 人分の氏名、検査データ、患者 ID、性別、

年齢、アルファベット表記による疾患名の略称と氏 名や学生番号、性別、指導教員名、学内メールアド レスなどが閲覧可能

名古屋 大学大 学院

対策不備 低 教務 教 員

16 2014/3

講義を履修した学生 40 人の氏名、学籍番号、提出物 データ、成績集計に関するデータなどが保存されて いた USB が紛失

大阪女 子短期 大学

紛失

（USB） 低 教務 教 員

17 2014/2

ネットワーク接続ストレージ（NAS）のアクセス制限 が正しく設定されていなかったことが原因で学生や 教職員など約 450 人の個人情報が流出し、検索サイ トで閲覧可能

筑波 対策不備 低 教務 職 員

18 2014/1 4 年生 77 人分の卒論途中評価を含むファイルを誤っ て同学科の全学生 277 人に誤送信

福岡大 学

対策不備

（メール 誤送信）

低 教務 職 員

19 2014/1

教員が車上荒らしの被害に遭い、同教員が 2009 年か ら 2013 年に担当した講義を受講した学生の氏名、学 籍番号、成績データなど 2264 件の個人情報を保存し たノート PC が盗難

兵庫医 療大学

盗難（車 上嵐し）

低 教務 教 員

20 2013/12

教員免許状の更新講習について申し込みを受け付け ている教員免許更新支援センターのサーバーが不正 アクセスを受け講習申込者の個人情報が流出した可 能性

信州大 学

ハッキン グ

高 就職 職 員

21 2013/12 生物生産学部において、受験生から提出された一部 入学志願関係書類を紛失

広島大

学 紛失 低 入試 職

員

22 2013/11

399 人分の氏名、学籍番号、成績などのほか、研究参 加者 273 人分の研究データが保存されていた USB メ モリを紛失

四天王 寺大学

紛失

（USB） 低 教務 教 員

23 2013/11

13 人の氏名、受験番号、専攻系名、希望種別、推薦 順位などが記載されていた「日本学生支援機構大学 院奨学生申込者名簿」をキャンパス内に 30 分放置

東京大

学 対策不備 低 奨学金 職 員

24 2013/11

デジタル複合機 2 台内の他大学の学生 115 人の試験 結果、医科学研究所職員の氏名が記載されたセミナ ー受講証 12 人分など個人情報が含まれるデータがイ ンターネット上で閲覧可能な状態

東京大

学 対策不備 低 教務 職 員

25 2013/10 教員が、学生約 200 人の氏名、学籍番号、試験の点 数などが記録された USB メモリを紛失

大正大 学

紛失

（USB） 低 教務 教 員

26 2013/10

教員免許更新講習用のサーバーが不正アクセスを受 け、サーバー内で管理されていた「教員免許更新講 習の受講者の氏名、住所、電話番号、勤務先」が流 出した可能性

清和大 学

ハッキン

グ 高 就職 職

員

27 2013/10

医学部付属病院の医師が、氏名、患者番号、生年月 日、年齢、性別など患者 12 人分の個人情報が含まれ ていた電子カルテを投影した資料を用いて学会発表 を実施

東京医 科歯科 大学

対策不備 低 研究活動 教 員

65

業務内容については情報漏洩事故が多いものから教務40%(30件中12件)、研究活動 27%(30件中8件)、就職（教員免許）10%（30件中3件）、保健7%(30件中2件)、奨学金7%(30 件中2件)、入試7%(30件中2件)、渉外3%(30件中1件)となっている。履修登録等の授業に関 連した教務の割合が多いのは作業項目や作業量から予想できたが、教員による研究活動の 割合が多かったことが新たに判明した。

情報漏洩に関連した人物別では職員が57%(30件中17件)、教員が40% (30件中12件)、学 生がわずか3%(30件中1件)であった。先の米国大学における調査でも同様に学生が原因の 情報漏洩事故は発生していない。日米両国の結果から学生が情報漏洩事故に起因していな いということが判明した。従ってリスク評価においては教職員が重要な調査対象となる前 提で考察を進めることとする。

更に脅威種別や技術難易度について表5−3に示した。

表5−3 日本国内大学における情報漏洩事故の脅威種別割合と技術難易度割合

脅威種別 技術難易度

ハ キ ング

盗 難・ 紛失

ID

詐 称・ 偽称

対策 不備

内部

犯 高 中 低

（％） 10 (3)

40 (12)

0 (0)

50 (15)

0 (0)

10 (3)

0 (0)

90 (27)

頻度 中 高 低 高 低

No 年 内容 発生

個所

脅威種 別

技術 難易 度

業務 人 物

28 2013/10

メールの送信ミスが発生し、国際シンポジウムの参 加申込者のメールアドレス 339 件とそのうち 10 名の 氏名が流出

東京大 学大学 院教育 学研究 科

対策不備

（メール 誤送信）

低 教務 職 員

29 2013/10 学生採用試験において、答案用紙 8 人分を紛失

航空保 安大学 校

対策不備 低 入試 職 員

30 2013/9

法学部において学生 141 人に事務連絡メールを一斉 送信した際、送信先アドレスを「TO」に設定して送 信。そのため、宛先とした全員の氏名、学年、メー ルアドレスが表示

名古屋 大学

対策不備

（メール

誤送信） 低 教務 職 員

ドキュメント内 学位授与機関 同志社大学 (ページ 66-70)