ISENのつぶやき

TOP > 情報セキュリティ事故ニュース > 県立高等学校、Webの設定ミスによる約1200件の個人情報漏えい

漏洩・紛失・不正行為…情報セキュリティ事故

前月の事故件数
11
件
  • 学校種別で検索する
  • 都道府県で検索する
  • 年度で検索する
  • 漏えい人数件数で検索する
  • 漏えい媒体で検索する
  • 事故の種類で検索する

学校種別

  • 2012.6.18

    【熊本県】 設定ミス

    県立高等学校、Webの設定ミスによる約1200件の個人情報漏えい

2012年6月18日、
熊本県の県立高等学校で、Webの設定ミスによる約1200件の個人情報の漏えいがあったことがわかった。

全校生徒の顔写真付き名簿が流出し、インターネット検索サイトを通じて
誰でも閲覧できるようになっていたことから発覚した。

県教委によると、名簿は教諭同士が進路や生活指導などについて協議する際、
顔と氏名が一致するようにと毎年度作成しているものだったという。

学校は名簿を毎年度、市内の写真館に委託して作成しており、
今年度も例年通り発注していた。

写真館は名簿の作成作業のうち一部の工程を、さらに別の会社に外注。
生徒の顔写真と生徒名一覧表を外注先のウェブデザイン会社に渡していた。

その後、ウェブデザイン会社の社員が、自宅で作業するために
インターネット上の専用サーバに名簿のデータを保存した際、
パスワードによる保護設定を怠ったため情報が流出したという。

学校側は委託先である写真館が、名簿作成の作業をさらに他の会社に
外注していたことを知らなかったという。

jiko_coment.gif


o_right.jpg●大溝氏のコメント

学校と例年委託している市内の写真館という関係では、機密保持に関する契約書を
取り交わしていなかったのではないかと推測されます。

民間企業の場合、個人情報の取り扱いを委託する場合は機密保持に関する契約書を
取り交わし、委託先の外注(再委託先)についても明記するのが一般的です。

取り扱いの責任を明確にするために再委託を禁止するか、再委託を認める場合は
セキュリティ関連の認証(ISMS、プライバシーマークなど)を取得している会社に
限定するなどの制約をつけるのが望ましいでしょう。

また、直接的な原因は、デザイン会社がパスワードによるデータの保護設定を怠ったことです。

インターネット上に個人情報を保存する場合は、データファイル自体にパスワードを設定するだけでなく、
Webサイト閲覧のためのパスワードも設定するといった2重の保護をする必要があるでしょう。

(2012.06.18)

つぶやく

一覧へ戻る


PAGE TOP