先生が多忙な4・7月に多発、学校の個人情報漏洩「約半分が紙の書類」原因の背景 DX化は必須、まずは情報資産の把握・分類から
2023年の個人情報漏洩は13万9874人
先生が体育館に置き忘れた子どもの個人情報がSNSで拡散される。あるいはランサムウェア被害で子どもの個人情報が流出する。そんなニュースをよく目にするようになっているが、学校の個人情報漏洩事故はどのような特徴や傾向があるのだろうか。毎年、「学校・教育機関における個人情報漏洩事故の発生状況」調査報告書を発表している教育ネットワーク情報セキュリティ推進委員会・副委員長の井上義裕氏に最近の動向と、あるべき情報セキュリティ対策について話を聞いた。 【グラフで見る】学校・教育機関における個人情報漏洩事故の実態がよくわかる7つの調査結果 2024年6月、KADOKAWAグループを標的としたサイバー攻撃により角川ドワンゴ学園のN中等部、N高等学校、S高等学校で個人情報の漏洩が発生し、学校の情報セキュリティに対する関心が高まっている。 では、学校で個人情報漏洩事故は、どのような形でどれだけ発生しているのだろうか。教育機関のIT推進を事業とするJMCが運営事務局を務める、教育ネットワーク情報セキュリティ推進委員会(ISEN)では毎年、「学校・教育機関における個人情報漏洩事故の発生状況」調査報告書を発表している。 これは学校や自治体が発表、公開した個人情報漏洩事故をISENが集計したもので、2005年から集計が行われている。ただし、あくまで発表分を集計した調査なので、学校の情報漏洩事故すべてを網羅しているわけではない点に留意する必要がある。 さて、最新版の2023年度調査報告書によると、個人情報漏洩事故発生件数は218件で、漏洩人数は13万9874人であった。
学校で圧倒的に多い「書類」による事故発生
ISEN副委員長の井上義裕氏はこう語る。 「近年は毎年、200件前後の個人情報漏洩事故が発生しています。これが最も特筆すべき点で、これまでにさんざん注意喚起されているので普通なら減っていきそうなものですが、学校ではなかなか減りません。漏洩人数に関しては、各年でサーバーなど漏洩した媒体によって大きく変動します。 学校の特徴がよく表れているのが漏洩経路・媒体別事故発生比率で、最も多いのが『書類』の47.7%、次いで『インターネットサービス・アプリ』20.8%。文部科学省が中心となって校務DXが進められていますが、いまだに漏洩媒体の半分近くが紙なのです。したがって、基本的に紙をなくしてデータでやり取りするよう、学校の仕事のやり方を見直す必要があると思います」 紙の書類でやり取りをしているために、書類の山に重要な書類が埋もれて紛失したり、うっかり捨てたり、あるいは誤配布したりといった事故が発生しやすい状況があるわけだ。 実際、事故の種類別発生比率を見ても、「紛失・置き忘れ」が最も多く48.6%。次いで「誤公開」16.8%、「誤送信」15.4%の順番で、上位3つで全体の約80%を占めている。 一方、月別の事故発生件数を見ると、2023年度は7月、11月、12月が最多で26件、次いで4月の22件となっている。つまり、年度初めと学期末の時期に事故が増えている。過去13年間の平均値を見ても、やはり年度初めの4月と学期末の7月が最も多く、次いで年度末の3月となっている。 要するに、先生たちが忙しい時期に事故が起こっており、これも学校ならではの特徴だ。「セキュリティ事故の大半はヒューマンエラー」(井上氏)というのがよくわかる。
