事故から学ぶ

京大で教職員や学生4万人分の個人情報が閲覧可能状態に

事故概要

業種 大学
発生時期 2020/6-2020/12
漏えい人数 40000
事故概要

京都大の全ての教職員と学生ら計約4万人の氏名や学内メールアドレスなどの個人情報が昨年6月から約半年間、外部から閲覧できる状態になっていたことが19日、京大への取材で分かった。個人情報が外部に流出したとの報告は確認されていない。
京大によると、閲覧可能になっていた個人情報は、氏名とメールアドレスのほか、学生が成績や履修状況を管理したり、教職員が業務に用いたりする学内の情報システムにログインするためのIDと暗号化されたパスワードの4点。
昨年6月、セキュリティー強化のために認証システムの改修作業を行った際、担当部署がチェックを怠り、個人情報にアクセスできる状態になっていた。今月4日、職員が不備に気づき、同日中に設定を変更。18日までに全ての教職員と学生にパスワードの変更を求めるメールを送った。

引用元 京都大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

京都大学は、同大学の教職員や学生の個人情報が外部から閲覧可能な状態であったことを発表した。約4万人分の情報が対象となったことだ。

本件で注目すべきポイントは、個人情報が約6ヶ月ほど公開状態で放置されていたことだ。2020年6月に実施したシステム改修以降、個人情報が外部に公開されていた。チェック体制など含め、システム改修時のフローを考え直す必要がある。

具体例:

回収後のシステムテストの基本ができていない。兄弟の責任であるが、システム会社としてあまりにひどい仕事である。ユーザテストフェーズで利用者目線でテストをする時に、処理が正しく動くか、の他に不要な情報が標示されないかを確認する、という項目が必ず含まれている筈なので、今後のテストは厳格に行わなければならない。手抜きはしないことだ。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。