平成
27年度
学校・教育機関における
個人情報漏えい事故の発生状況
- 調査報告書 -
学校の個人情報漏えい事故の発生状況について
本資料は、平成
27年度(平成27年4月1日~平成28年3月31日)に
学校、公的教育機関、関連組織で発生した、児童・生徒・保護者などの
個人情報を含む情報の紛失・漏えい事故についての公開情報を調査し、
集計したものです。
学校や自治体が発表・公開した情報を集計しています。
発生したすべての個人情報漏えい事故を網羅したものではありません。
平成
24年度までの調査結果は、事故の公表日を基準に算出し、
平成
25年度からの調査結果は、事故の発生日を基準に算出しました。
発生日が不明な場合は、事故が判明した日を基準に算出しました。
改訂履歴
: 2016年 6月 24日 第1版 発行
2016年 11月 25日 第2版 2016年11月1日時点での調査結果に更新
漏えい経路・媒体の分類を変更
平成
27年度 事故発生件数・個人情報漏えい人数
平成
27年度は、166件の個人情報の漏えい事故が発生。
延べ
340,701人の個人情報が漏えいしました。
約
2,052
人の
個人情報
が
漏えい
平均すると
事故
1件あたり
166
件
340,701
人
事故発生件数
個人情報漏えい人数
151
148
234
238
174
164
144
172
172
168
166
97,110
44,603
135,951
83,363
50,423
75,770
50,312
31,743
133,360
120,186
340,701
0
50,000
100,000
150,000
200,000
250,000
300,000
350,000
0
50
100
150
200
250
300
350
平成
17年度
18年度
19年度
20年度
21年度
22年度
23年度
24年度
25年度
26年度
27年度
事故発生件数
個人情報漏えい人数
事故発生件数・個人情報漏えい人数 過去
11カ年の推移
毎年、
100件以上の個人情報漏えい事故が発生しています。
個人情報漏えい人数は、年度によってばらつきがあります。
(件)
(人)
32
51
15
44
11
10
3
0
10
20
30
40
50
60
事故発生件数
1人の個人情報が漏えいした事故や、1,000人以上の個人情報が
漏えいした事故など、さまざまな情報漏えい事故が発生しました。
平成
27年度 個人情報漏えい人数別 事故発生件数
(件)
13
22
4
6
2
0
0
2
4
5
13
3
1
0
6
13
1
11
2
1
0
5
3
3
11
4
7
2
6
9
2
3
0
1
1
0
5
10
15
20
25
1~10人未満
10~50人未満
50~100人未満
100~500人未満 500~1,000人未満
1,000人以上
不明
小学校
中学校
高等学校
大学
その他
平成
27年度 漏えい人数別・学校種別 事故発生件数
先生が取り扱う個人情報には、学校種ごとに特徴があります。
先生が持つ情報量の違いが、漏えい人数にも影響しています。
クラス単位の事故など
(小学校で多発)
主に学年・学校単位の事故など
(中学校・高校・大学で多発)
大学では
大規模な事故が発生
(件)
24
15
10
15
8
14
17
9
15
12
16
11
0
5
10
15
20
25
30
4月
平成
27年
5月
6月
7月
8月
9月
10月
11月
12月
1月
平成
28年
2月
3月
月別事故発生件数
平均
13.8件
平成
27年度 月別 事故発生件数
平成
27年度は、4月に最も多くの事故が発生しました。
平均すると、
1カ月あたり約14件の事故が発生したことになります。
約
14
件の
事故
が
発生
平均すると
1カ月あたり
主
な
学
校
行
夏
休
み
学
期
末
成
績
処
理
入
学
試
験
学
期
末
成
績
処
理
学
期
末
成
績
処
理
(件)
年
度
始
め
(
二
学
期
制
)
学
期
末
21.2
11.7
13.0
18.5
9.2
13.7
13.8
12.5
14.2
10.2
13.0
13.5
0
5
10
15
20
25
4月
5月
6月
7月
8月
9月
10月
11月
12月
1月
2月
3月
過去
6カ年の平均値(平成22年度~平成27年度)
月別 事故発生件数 過去
6カ年の平均値
4月(年度始め)や7月(学期末・成績処理の時期)に事故が多く発生
しました。
主
な
学
校
行
事
夏
休
み
学
期
末
成
績
処
理
年
度
始
め
入
学
試
験
学
期
末
成
績
処
理
学
期
末
成
績
処
理
(件)
(
二
学
期
制
)
学
期
末
情報漏えい事故は、学校内でも学校外でも発生しています。
平成
27年度 発生場所別 事故発生比率
学校内、学校外、両方の対策を講じる必要があります。
学校内
42.2
%
学校外
31.3
%
・車上荒らし
・置き引き
・ひったくり
・紛失・置き忘れ
など
不明
26.5
%
・紛失・置き忘れ
・誤廃棄
・誤送信
など
・紛失・置き忘れ
・誤廃棄
など
誤公開
5.4%
誤配布
4.2%
誤送信
3.0%
不正アクセス
1.8%
誤廃棄
1.2%
ワーム・ウイルス感染
1.2%
その他
0.6%
平成
27年度 種類別 事故発生比率
書類や
USBメモリ、パソコンなどの 「紛失・置き忘れ」が最も多く、
「盗難」 が二番目に多く発生しました。
約
80
%
「紛失・置き忘れ」
「盗難」 が 全体の
※事故の分類は
P21に記載
紛失・置き忘れ
66.3
%
盗難
15.7
%
盗難
紛失・置き忘れ
平成
27年度 「紛失・置き忘れ」「盗難」の
発生場所別 事故発生比率
「紛失・置き忘れ」事故は、学校内でも学校外でも発生しました。
発生場所がわかっていない事故も多くありました。
「盗難」事故の多くは、学校外で発生しました。
学校内
37.3
%
学校外
28.2
%
不明
34.5
%
学校内
26.9
%
学校外
73.1
%
自宅侵入
7.7%
ひったくり
3.8%
不明
3.8%
その他
3.8%
「盗難」被害の約
80%は「車上荒らし」「置き引き」「学校侵入」でした。
そのほか、「自宅侵入」や「ひったくり」など、盗難の手口はさまざまです。
平成
27年度 「盗難」の種類別 事故発生比率
「車上荒らし」 「置き引き」
「学校侵入」 が盗難の
個人情報を校外へ持ち出す場合と、学校内で管理する場合、両方の対策が必要です。
車上荒らしの被害が多く発生しています。車通勤の先生方は、特に注意が必要です。
約
80
%
車上荒らし
42.3
%
置き引き
19.2
%
学校侵入
19.2
%
パソコン
6.6%
電子メール
3.3%
ホームページ
3.3%
サーバー
2.2%
外付けハードディスク
2.2%
SDカード 2.2%
インターネットサービス・アプリ
1.1%
その他
3.8%
平成
27年度 漏えい経路・媒体別 事故発生比率
漏えいした経路・媒体別では、「書類」と「
USBメモリ」が大半を占めました。
※
1件の事故で複数の媒体から漏えいした場合は、漏えいしたすべての媒体の数を加えています。
(その他の内訳) 携帯電話、デジタルカメラ、写真、
FAX、タブレット端末、その他デジタル機器、媒体不明。
「書類」「
USBメモリ」
による事故が
約
80
%
書類
51.6
%
USBメモリ
23.6
%
204,467
89,280
33,894
10,446
4,658
1,894
1,874
424
320
222
14
3
3
1
343
0
50,000
100,000
150,000
200,000
250,000
サーバー
USBメモリ
パソコン
書類
ホームページ
外付けハードディスク
電子メール
インターネットサービス・アプリ
携帯電話
SDカード
デジタルカメラ
写真
FAX
不明
その他
個人情報漏えい人数
平成
27年度 漏えい経路・媒体別 個人情報漏えい人数
学校や教育委員会が管理する「サーバー」から、約
204,000人の
個人情報が漏えいしました。
※
1件の事故で複数の経路・媒体から漏えいした場合は、それぞれの経路・媒体に含まれていた個人情報漏えい人数を合算しています。
約
328,000
人の
個人情報漏えい
上位
3つは「電子媒体」
合計で
(人)
51,116.8
2,824.5
2,076.3
776.3
473.5
320.0
312.3
212.0
111.1
55.5
14.0
3.0
3.0
1.0
171.5
0
10,000
20,000
30,000
40,000
50,000
60,000
サーバー
パソコン
USBメモリ
ホームページ
外付けハードディスク
携帯電話
電子メール
インターネットサービス・アプリ
書類
SDカード
デジタルカメラ
写真
FAX
不明
その他
事故
1件あたりの個人情報漏えい人数
平成
27年度 漏えい経路・媒体別
事故
1件あたりの個人情報漏えい人数
事故
1件あたりの個人情報漏えい人数が最も多い経路・媒体は
学校や教育委員会が管理する「サーバー」でした。
(人)
約
51,000
人の
個人情報
が
漏えい
平均すると
事故
1件あたり
平成
27年度 規定違反を伴う事故の発生比率
規定に反して持ち出した情報を紛失した場合など、「規定違反」を伴う
事故が全体の約
30%を占めました。
規定の周知を徹底するだけでなく、現実的で無理のない規定を作ることが大切です。
学校指定の
USBメモリを条件付きで貸し出したり、データを外部にコピーできないように
したりすることで、私物
USBメモリからの情報漏えいリスクを減らすことができます。
規定違反あり
30.7
%
規定違反なし
または不明
69.3
%
規定違反の例
・情報を持ち出すことは、原則禁じられていた
・管理職の許可を得ず、無断で持ち帰っていた
・私物の
USBメモリを無断で使用していた
・管理規定が守られていなかった
など
盗難
紛失・置き忘れ
「紛失・置き忘れ」事故の約
30%は規定違反を伴って発生しました。
また、「盗難」事故の約
40%は規定違反を伴って発生しました。
平成
27年度 規定違反を伴う
「紛失・置き忘れ」「盗難」事故の発生比率
規定違反あり
34.5
%
規定違反なし
または不明
65.5
%
規定違反あり
38.5
%
規定違反なし
または不明
61.5
%
事故の
13.3%は、「過失行為」や「やり間違い」など、意図しない行為
(行為ミス)によって起こりました。
平成
27年度 意図しない行為(行為ミス)による
事故の発生比率
誤廃棄や誤送信など、ケアレスミスによる事故を減らすための
仕組みや工夫が必要です。
意図しない行為
13.3
%
意図しない行為の例
・書類を誤って廃棄してしまった
・書類の送付先を間違えた
・電子メールの宛先や添付ファイルを間違えた
・サーバーの公開設定を間違えた
など
第三者の悪意ある行為
18.1
%
平成
27年度 第三者の悪意ある行為による
事故の発生比率
事故の
18.1%は、第三者の悪意ある行為によって起こりました。
盗難やサイバー攻撃など、外部からの脅威への対策が必要です。
第三者の悪意ある行為の例
・盗難
・不正アクセス
・ワーム、ウイルス感染
など
成績情報を含む
41.6
%
平成
27年度 成績情報が含まれていた事故の発生比率
情報漏えい事故の約
40%が、成績情報を含むものでした。
1人分の成績情報=
3
万
3,000
円
「
2014年 情報セキュリティインシデントに関する調査報告書」
(
2016.6.17 JNSA) 想定損害賠償額の算定式より算出
参考:情報の価値
平成
27年度の
成績情報漏えい数 約
104,000
件
賠償額に換算すると 約
34
億
円
成績情報を含まない
または不明
58.4
%
成績の情報は非常にセンシティブな情報であり、漏えいが発生した場合に児童・生徒、
保護者に与えてしまう影響は甚大なものとなります。
先生が校務作業で取り扱う機会も多いため、細心の注意を払う必要があります。
事故が発生しやすい時期や媒体、原因を把握した上で、
効果的な対策を取りましょう。
情報漏えい事故の発生状況 まとめ
年度始めの
4月
や
学期末・成績処理の時期の
7月
に
事故が多く発生しました。
漏えい経路・媒体の大半は
「書類」「
USBメモリ」
で、
事故発生件数の約
80%を占めました。
事故の種類は、
「紛失、置き忘れ」「盗難」
が
全体の約
80%を占めました。
「規定違反」
を伴う事故が、
全体の約
30%を占めました。
補足:事故の種類 分類名の解説
本資料では、情報セキュリティ事故の種類を次のように分類しています。
事故の種類
どのような事故か
紛失・置き忘れ
書類などを紛失したリ、置き忘れたりして所在不明となった場合。
誤廃棄
書類などを誤って廃棄した場合。
誤配布
書類などの配布先や送付先を間違えたことによって情報が漏えいした場合。
誤送信
電子メールなどの宛先を間違えたことによって情報が漏えいした場合。
誤公開
サーバーやネットワークストレージのアクセス権の設定を誤ったり、
公開範囲を超えて情報を掲示したりしたことによって情報が漏えいした場合。
盗難
第三者によって記録媒体(書類、
USBメモリなど)と共に情報が盗まれた場合。
※情報のみ盗難された場合は、不正アクセスに分類する。
不正アクセス
正規のアクセス権を持たない第三者が、ネットワークを経由するなどして
サーバーや情報システムに侵入し、情報が漏えいした場合。
ワーム・ウイルス感染
ワームやウイルスなどの不正プログラムによって情報が漏えいした場合。
バグ・セキュリティホール
OSやアプリケーションなどのソフトウェア上の欠陥が原因で情報が漏えいした場合。
目的外使用
情報を当初の目的以外の用途に使用した場合。
その他
情報漏えいの原因が上記のいずれにも該当しない場合。
不明
情報漏えいの原因が不明の場合。
1172 384 527 0 200 400 600 800 1000 1200 1400
懲戒処分の種類
【参考資料】
個人情報の不適切な取り扱いに係る処分について(
1)
平成
24年度 平成25年度 平成26年度
■
監督責任による訓告・戒告等
145
129
335
■
免職
0
0
0
■
停職
1
0
1
■
減給
10
9
7
■
戒告
30
22
23
■
訓告等
341
224
806
(人)平成
26年度
個人情報の不適切な
取り扱いによる処分
1,172
人
監督責任による
訓告・戒告等
335
人
監督責任による訓告・戒告等
非違行為を行った教職員への
監督責任により、監督者も
懲戒処分を受けることがあります。
個人の意識を高めるだけでなく、
学校全体で組織的に取り組む
必要があります。
1210 0 2 3 0 512 5 6 4 26 151 44 0 0 0 0 4 919123 7 8 11 44 7 316010 2 9 1 0 4 0 1 8 0 6 2 664 0 2 1 2 8 1 2 0 4 0 0 0 3 0 0 3 2 9 0 0 5 0 0 0 100 200 300 400 500 600 700 1210 0 2 3 0 512 5 6 4 26 151 44 0 0 0 0 4 919123 7 8 11 44 7 316010 2 9 1 0 4 0 1 8 0 6 2 664 0 2 1 2 8 1 2 0 4 0 0 0 3 0 0 3 2 9 0 0 5 0 0 0 100 200 300 400 500 600 700 北 海 道 青 森 県 岩 手 県 宮 城 県 秋 田 県 山 形 県 福 島 県 茨 城 県 栃 木 県 群 馬 県 埼 玉 県 千 葉 県 東 京 都 神 奈 川 県 新 潟 県 富 山 県 石 川 県 福 井 県 山 梨 県 長 野 県 岐 阜 県 静 岡 県 愛 知 県 三 重 県 滋 賀 県 京 都 府 大 阪 府 兵 庫 県 奈 良 県 和 歌 山 県 鳥 取 県 島 根 県 岡 山 県 広 島 県 山 口 県 徳 島 県 香 川 県 愛 媛 県 高 知 県 福 岡 県 佐 賀 県 長 崎 県 熊 本 県 大 分 県 宮 崎 県 鹿 児 島 県 沖 縄 県 札 幌 市 仙 台 市 さ い た ま 市 千 葉 市 川 崎 市 横 浜 市 相 模 原 市 新 潟 市 静 岡 市 浜 松 市 名 古 屋 市 京 都 市 大 阪 市 堺 市神戸 市 岡 山 市 広 島 市 北 九 州 市 福 岡 市 熊 本 市
【参考資料】
個人情報の不適切な取り扱いに係る処分について(
2)
都道府県・政令指定都市別 懲戒処分の種類
© 2016 ISEN
(人)「平成
26年度公立学校教職員の人事行政状況調査について」(文部科学省) (http://www.mext.go.jp/a_menu/shotou/jinji/1365310.htm)をもとに作成
■
監督責任による訓告・戒告等
■
免職
■
停職
■
減給
■
戒告
■
訓告等
23
837 255 382 0 100 200 300 400 500 600 700 800 900