(宮崎大学公式HP)

概要

宮崎大学は、公式ホームページ上で卒業生を含む学生と退職教員の個人情報が、学外から閲覧可能な状態であったことを発表しました。

本件は同大の職員によるサーバーアクセス制限の設定ミスにより、通常個人IDやパスワードを入力しないと閲覧できない個人情報が含まれたファイルが、公式ホームページから誰でもアクセスできるようになっていた模様です。

通常であれば、当該個人情報ファイルが格納されているウェブページは職員だけがアクセスできるようになっていたようです。

タイムライン

2016年4月15日(金)～5月26日(木)

宮崎大学ホームページ上で、卒業生を含む学生と退職教員の個人情報が、学外から閲覧可能な状態となる。

2016年6月14日(火)

個人情報ファイルが閲覧可能になっていたことが外部からの指摘により判明。

原因

弊社の見解

個人情報を取り扱っているページなどを編集した際には、その編集によって情報漏えいの”穴”が生じていないか、本人以外のチェックを経る、ダブルチェック体制が整っていなかったと考えられます。

そして、本件が発生後、約一ヶ月にわたり外部から指摘されるまで気づかなかった点から、該当個人情報のサーバーアクセス記録をチェックするなど、不正アクセス検知体制に改善の余地があると思われます。

被害

本件にて、学生及び退職教員16名の、氏名、生年月日、所属、入学年度、認定科目名、認定単位数、出身校、学生の身分異動内容を含む個人情報が漏えいしました。

なお、今のところ漏えいした情報の不正利用などの二次被害報告はされていません。

対応

宮崎大学は指摘を受けたと同時に、該当ファイルを閲覧できないように処置し、サーバーのログ調査をおこないました。また、外部からアクセスされたファイルに個人情報が含まれていないかの確認をおこなったとのことです。

個人情報を漏えいさせた学生や元教員に対しては、状況の説明とお詫びを行った模様です。

再発防止のため、同大学は個人情報の適正な管理の徹底と、情報セキュリティ対策を強化すると公表しています。

関連情報

毎日新聞「公式ホームページで学生と元職員　宮崎大／宮崎」(2016/06/15)
宮崎大学「インターネット上での個人情報の漏えいについて」(2016/06/14)(魚拓)