北星学園大学(札幌市厚別区)と、札幌学院大学(北海道江別市)は5日、学生の個人情報が外部に漏えいしたことを発表した。札幌学院大の非常勤講師も務めている北星学園大の経済学部教授が、レンタルサーバーに学生のデータを保存。このデータが外部からアクセスできる状態になっていた。
両大学の発表や北海道新聞の報道によると、漏えいしたのは、学生の学籍番号、氏名、成績評価。北星学園大では、同教授の講座を受講している学生505名分、札幌学院大では、現代ファイナンス論を履修した49名分の情報が漏えいした。教授は7月下旬に、利用しているレンタルサーバーにこれらのデータを保存。8月19日、外部の人物から教授あてに、データを閲覧しダウンロードしたとのメールが届き、8月21日にデータを削除したという。これまでに情報の悪用による被害の報告は入っていない。
北星学園大では、事実確認のために報告が遅くなったことを謝罪し、再発防止のため情報管理を徹底していくとしている。札幌学院大では、北星学園大の対応を待って5日付で文部省に報告書を提出したとし、教職員や非常勤講師に対し個人情報の慎重な取り扱いについて指導管理を徹底するとしている。
今回の漏えいは、アクセス権を設定せずにサーバーの公開エリアにファイルを置いていたことが原因。Webサーバーを初期設定のまま利用した場合、公開ディレクトリに置いたファイルは、誰でも閲覧できる状態となっているのが通例だ。URLがわからなければデータにアクセスできないだろうと考えて、アクセス権を設定せずに利用しているものと思われるが、これは非常に危険。下に本記事の関連記事として挙げたが、これまでに同じ原因による情報漏えいが何件も起きている。
「公開設定」のミスによって情報が漏えいするケースはほかにもある。 6月には、ソーシャルブックマークサービス「みんぽす」を運営するWillVii(東京都渋谷区)で、社員がスケジュールを書き込み、誤って公開設定にしていたWebサービスのカレンダーを介して、コンタクト予定者15名の個人情報が漏えい。また7月には、地図検索サイトを介し、NTT西日本沖縄支店(沖縄県浦添市)の顧客63件の情報が漏えいした。業務委託先協力会社が地図検索サイトに顧客情報を登録し、誤って公開設定にしていたという。Web上のツールは、便利に使える反面、誤設定や誤操作により思わぬ事態を引き起こすので、使用する際には十分な注意が必要だ。
(2008/09/09 インターネット・セキュリティニュース)
■【重要】個人情報の漏洩に関する報告とお詫び(北星学園大学)
http://www.hokusei.ac.jp/main/info/detail.cgi?number=477
■学生個人情報の漏洩について(札幌学院大学)
http://www.sgu.ac.jp/news/do050b00000024zp.html
■モノフェローズ及び候補者の個人情報漏洩へのお詫びと今後の対策に関するご報告(WillVii)
http://www.willvii.co.jp/20080608.html
■お客様情報流出に関するお詫びとお知らせ(大生通信/西日本電信電話沖縄支店)
http://www.ntt-west.co.jp/okinawa/news/200710.html