事故から学ぶ

報道発表資料 大阪市立小学校における個人情報を含む写真データの漏えいについて

事故概要

業種 地方自治体
発生時期 2021/5/18
漏えい人数 330
事故概要

大阪市立小学校で以前勤務していた教員の私的アカウントへの不正アクセスにより、個人情報を含む写真データが不正アクセス者に閲覧可能な状態にあることが、令和3年5月18日(火曜日)に明らかになりました。

このたびの事案が発生したことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。
1  概要と事実経過
令和3年5月18日(火曜日)、大阪市教育委員会教育長あてに、国立大学大阪教育大学長から個人情報漏えい事案に関する以下のような報告がありました。

現在、大阪教育大学付属小学校で勤務している教員(平成26年度から29年度まで大阪市立小学校に勤務。以下、「教員」という。)がフィッシング詐欺(スミッシング)にあい、個人で契約していたクラウドサービスのアカウントが乗っ取られ、保存していたデータが不正アクセス者に閲覧可能な状態になりました。当該クラウドストレージには、教員が私物のスマートフォンで撮影した写真データが自動的にバックアップされる設定となっており、教員の個人的な写真や現任校で撮影した写真とともに、大阪市立小学校で勤務していた当時に撮影した写真も保存されていました。大阪教育大学では、大阪教育大学情報インシデント対応チームにおいて調査を行い、クラウドサービス事業者及び警察に連絡をとって、対応の相談をしました。

現時点で、個人情報が悪用された事実は確認されていないとのことです。
2  写真データ(87枚)に含まれる個人情報(最大330名)
個人の名前:110名分
個人の名前、顔写真:34名分
個人の名前、顔写真、作品等:15名分
個人の名前、住所、電話番号、生年月日:2名分
個人の名前、学校名、水泳の記録:約169名分(正確な人数については、画像が不鮮明のため不明)
3  判明後の対応
令和3年5月22日(土曜日)から、当該大阪市立小学校の現校長及び教員が、現在籍児童とその保護者に対して家庭訪問等を行い、経過説明と謝罪を行っているところです。卒業生及びその保護者に対しては、今後、経過説明と謝罪の手紙を郵送する予定です。
4 原因
教員における個人情報の取り扱いに関する認識が不十分であり、児童等の個人情報を個人のスマートフォンに記録して持ち出していたことが原因です。
5  再発防止について
教育委員会といたしましては、これまでも各校に対して個人情報の管理の徹底を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。

各学校に対して、今回の事案を共有するとともに注意喚起を図り、個人情報の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

引用元 大阪市

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

クラウドサービスだからといって不正アクセスを完全防御できるわけではない。重要資産を扱うサービス会社は金になるため最新の手口で集中的に攻撃を受けている。攻撃を受け続けていることへの防御策と、攻撃を突破されたさいの対応策は別物であり、特に後者は被害を最小限度に抑えるために利便性に制限があっても暗号化などの対策は必須である。選択の余地はない。

具体例:

クラウドサービスだからといって安心できない。
不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。