(教員専用フォルダを投影したことで個人情報が流出)
少し前ですが、今週、公立中学校で授業中に誤って教員専用フォルダの「アクセスコード」を投影したことで、生徒が教員専用のフォルダにアクセスし、個人情報が流出した、という報道がありました。
福岡市の公表資料を見ると、以下のように経緯が記載されていました。
令和6年5月
教員が授業中に、教材提示のため、パソコン画面をプロジェクターで投影した際、ネットワーク上の教員専用フォルダのアクセスコードを不注意により表示してしまったため生徒が知りえる状況となった。5月~7月
アクセスコードを知った生徒2名が、授業で使用するタブレット端末か
ら教員専用フォルダにアクセスし、保存されているファイルを閲覧した。発覚後、学校は速やかにアクセスコードを変更し、閲覧できない状態にした。7月~9月
アクセスした生徒のうち1名が、タブレット端末で画面のスクリーンショットを行い友人と共有した。その後タブレット端末の画面をスマホで撮影したことにより、複数の者に流出した。
今回の記事は、以下の記事の続報にあたります。前回の記事を踏まえて行われた、学習用端末で収集される個人情報の扱いについての実態調査の結果が文科省から公表され、情報の取得・管理についての教育委員会への通知も発出された、ということのようなのですが、残念ながら、調査結果や通知は見つけることができませんでした。
(流出した情報など)
「アクセスコード」というのが、具体的にどういうものなのか、報道や発表資料からはよくわからないのですが、おそらく、教員専用フォルダ内のファイルを閲覧するために必要なパスワードのようなものなのかな、と思います。
仮に「アクセスコード」がわかったとしても、生徒のアカウントからはアクセスできないように制御されていたりしないのかな・・とちょっと思ったのですが、そういうゼロトラスト的なシステム上の対策はされてなかったのでしょうね。。いずれにしても、不注意で一瞬写ってしまうとか、実際にはどこででも起こりえそうなことですね。。
その一瞬を見逃さずに、生徒がメモして不正にアクセスしてしまうというのも、学校ならではのことかなとは思います。。(以前に、ある学校関係者の方から、学校でのセキュリティポリシーは企業と違って、学校内にもチャレンジしてくる敵がいるから、その点での留意が必要と言われ、最初それが児童生徒のこととはわからなかったのですが、今回のニュースでそんなことを思い出しました。。)
ただ、今回流出したのは、「中学3年の生徒の健康上、生徒指導上の配慮事項(アレルギー、長期欠席、その他生徒への支援事項) 49 名分」とされています。これらの情報が、個人情報保護法上の「要配慮個人情報」等を含むのかは明確ではないですが(個人的には含むだろうと思いますが)、十分に取り扱いに注意が必要な機微な情報であることは間違いありませんし、学校の特殊性を踏まえて対策を講じることが必要と改めて思いました。
ご参考までですが、児童生徒の健康診断の結果等が要配慮個人情報に当たる旨は、文科省の「教育データの利活用に係る留意事項(第2版)」でも記載されています。
◯個人情報保護法
(定義)
第二条
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
学校に限らず、今週は、個人情報流出に関する記事が、数多く報道されていました。年末に公表が重なっただけかもしれませんが。。いずれにしても、自分事としても十分に注意したいと思います。。
(参考)
