こんにちは。まさおです。
8/9、東京都教育委員会は都立向丘高校で、1年生278名の入学試験の得点や順位が入った生徒名簿を生徒が閲覧可能なフォルダにアップロードして、生徒14名が同ファイルにアクセスしたと発表しました。
今回のテーマは「教員にこそICT教育が必要。個人情報の取り扱いに不安」というテーマです。
個人情報に対する意識が著しく低いと言わざるを得ないです。
◆個人情報漏洩事故の大半は人為的ミス
⇒いくらシステム的に防衛しても人が故意にアップロードすれば漏洩は防げない
⇒個人情報ファイルの管理があまりに杜撰
◆ファイルにアクセスしてしまった生徒のフォローも必要
⇒ファイルを閲覧してしまった生徒が罪悪感が感じる可能性も
⇒見てしまったファイルの記憶は消せないので、このミスの罪は重い
取り扱い注意のファイルがどれか、全職員がわかる状態にするか、アクセスできないようにすべき
都立高校で成績情報が閲覧可能に
8/9、東京都教育委員会は、都立向丘高校で入試結果(得点・順位など)が掲載された生徒名簿を誤って生徒閲覧が可能な共有フォルダーにアップロードし、生徒14名が同ファイルにアクセスしたと発表しました。
詳細は以下の東京都教育委員会の情報をご確認ください。
漏洩事故の概要
- 発生日:2022年7月7日(木)10時21分
- 発生場所:都立向丘高校のTeams内
- 共有された内容:1年生278名分の入学者選抜に係る情報
- 事故の経緯
- 令和4年3月下旬、新高1担当教諭が名簿作成時に活用した入試情報を削除し忘れたまま、学校の共有ファイルサーバーに保存
- 令和4年7月7日午前10時、情報化担当教諭が入試情報が含まれていることに気づかないまま、当該名簿ファイルをTeams内の生徒が閲覧可能なフォルダにアップロードした
- 令和4年7月20日午後6時、生徒の一人がTeams内の当該ファイルを発見し情報漏洩が発覚した。
- 令和4年7月21日午前7時30分、事故発生の連絡を受け、当該データを削除した。また、アクセスログを解析し、当がファイルをダウンロードした生徒を特定し、生徒所有端末からファイルが削除されたことを確認した。
最大の問題は個人情報ファイルの管理の甘さ
個の事故にはいろいろな問題が含まれていると思いますが、最大のポイントは「入試情報が入ったファイルを学校の共有フォルダにアップしていた」ことだと思います。
一般的に都立高校が入試情報をどう管理しているか、そのルールがあるかもわかりませんが、個人情報管理の基本は、「不要な情報は保管しない」だと思います。
入学者選抜時の得点や順位を日常的な生徒指導においてどの程度使用するかわかりませんが、一般的には入学して学校生活が始まったら、入学試験時の情報は特別な事情がない限り閲覧しないのではないかと思います。
入学時のクラス分けなどに入試時の得点情報などを使い、クラスが確定したらその情報は速やかに削除するか、入試の得点入りのファイルは一部の職員のみが閲覧可能な秘匿性の高いフォルダに保存することが重要だと思います。
それを全職員が閲覧可能な共有フォルダにアップしては、どう使われても仕方がないと思います。
今回は3月下旬に入試情報が入ったまま共有フォルダにファイルをアップしていた教諭が一番問題だと思います。
また、ファイル名も【入試情報あり】とか【取り扱い注意】などと入れておくだけで対応が全く変わってくるので、ファイル名の付け方などもルール化が必要だと思います。
生徒の前に教員の教育を
今回ファイルをアップロードした教員は、情報科を担当していたということで、さぞかしショックを受けていると思います。
自ら、個人情報の取り扱いには注意が必要だと生徒に教える立場でありながら、自分がアップロードするファイルの中身を確認もせずにアップしてしまったのですから、これはこれで問題だと言わざるを得ません。
情報の授業で、はたして全生徒の実名入りの生徒名簿を使う必要があったのかどうかも含め、個人情報の取り扱いに関する注意を全教員宛に行う必要があると思います。
最低限でも以下の視点は確認をした方がよいと思います。
- 個人情報ファイルはできるだけ作らない
- やむを得ず作る場合も最低限の情報のみを掲載する
- 適切な役職の人にのみ閲覧権限を与える
- 定期的に管理状況を監査する
生徒の前に教員に情報取り扱いの基本ルールを周知・徹底しないといけないという、非常に皮肉な状況になってしまいました。
個人情報漏洩の大半は、システム上のセキュリティリスクではなく、人為的なミスによって起こっています。お金をかけてシステム上の姓きゅりてぃを高めてもファイルを扱う人の強意育がいい加減だとこのような問題が多く起こってしまいますね。
コメント