Clear Consideration(大学職員の教育分析)

大学職員が大学教育、高等教育政策について自身の視点で分析します

情報セキュリティポリシーの運用と管理

立命館大学は事務組織の改革を一気に推し進めた大学として有名ですが、そのような大学でもこのような事態が発生してしまっています。

1月29日、立命館大学大学院経営管理研究科教授の自宅に空き巣が入り、個人所有パソコン等が盗まれました。同教授は直ちに警察当局へ被害届を提出し、翌1月30日には大学に被害の報告を行いましたが、現時点において盗まれたパソコンは発見されておりません。

盗難に遭ったパソコンには、同教授の2005年度および2006年度担当科目を受講していた本学学生・大学院生(卒業生を含む)の「氏名」「学生番号」「成績」といった個人情報1265件が含まれていました。したがいまして、皆様の個人情報が外部に流出したといわざるを得ない事態となっています。
まずもって、皆様に多大なご迷惑、ご心配をおかけすることになりましたことを深くお詫び申し上げます。

本学では、かかる事態を重く受け止め、2月1日文部科学省等への報告を行い、学生・大学院生・卒業生ならびに関係者の皆様への2次被害発生防止等に努めておりますが、これまでの本学の対応につきまして、下記のとおりお知らせいたします。
なお、現時点では情報の不正使用等の事実は確認されておりませんが、流出した情報に関わる外部からの問い合わせや不審な事象がありましたら、新たな被害やトラブルを防ぐ観点から、皆様で個別の対応を行わずに速やかに大学の方へご連絡いただきますよう、お願いいたします。


1.流出情報の内容
流出した個人情報は、2005年度および2006年度に開講された同教授の講義を受講していた学生・大学院生・卒業生の「氏名」「学生番号」「成績」です。
※住所、メールアドレス、電話番号情報などは含まれていません。

【2005年度分該当科目】
経営学特殊講義」(経営学部開講科目)登録者599人
アントレプレナー特論I」(大学院経営学研究科開講科目) 登録者21人

【2006年度分該当科目】
経営学特殊講義」(経営学部開講科目) 登録者598人
「ビジネスプランⅠ」(大学院経営管理研究科開講科目) 登録者11人
「ビジネスプランⅡ」(大学院経営管理研究科開講科目) 登録者13人
「事業開発Ⅰ」(大学院経営管理研究科開講科目) 登録者16人
「事業開発Ⅱ」(大学院経営管理研究科開講科目) 登録者7人


2.これまで大学が行った対応
(1)同教授のIDを悪用した不正なアクセスの防止
流出した情報には、本学における同教授のID、パスワードが含まれておりました。大学は、事態を把握後、同教授のアカウントをすみやかに停止し不正なアクセスの有無について検証しました。幸い不正アクセスの事実はありませんでした。

(2)記者発表による事実の公表
2月2日午前、記者発表を行い今回の事態を社会的に公表しました。社会的に公表することにより、学生・大学院生・卒業生への周知をはかるとともに、パソコンを盗んだ者が今後情報を悪用することを抑止することが可能になると判断しています。

(3)大学ホームページ上での公表
記者発表と同様の趣旨で、大学ホームページにも今回の事実を掲載します。


3.今後の対応
今回の事態は、成績評価を行うために作成したデータを管理していたパソコンが盗難にあったというものでした。教員が受講生の成績評価を行う際にパソコンを利用することは一般的に行われていますが、こうしたデータにパスワード認証を設定するなどの対応が必要となっています。この点について、全教職員にあらためて徹底することといたします。


4.お問合せ先
本件に関するお問い合わせは、プロフェッショナルスクール事務室(担当:藤井、藤田 電話:075-813-8270)でお受けいたします。

以上

今後、どのように再発防止策が取られるか興味深いところですが、私にはこのプレスリリースの出し方が「さすが立命館」と思えました。

このプレスリリースは次の段落で構成されています。

      1. 流出情報の内容
      2. これまで大学が行った対応
      3. 今後の対応
      4. お問合せ先

こういった対応、恐らくマニュアル化されて組織内で周知されているのだと思います。
例えば時期を同じくして一橋大学でも個人情報漏洩がありましたが、こちらのプレスリリースはこのようになっています。

4.本学では、個人情報の外部への持ち出しは、原則禁止としており、このような事態が生じたことは誠に遺憾なことであり、大変申し訳なく思います。
該当する学生の皆様には、お詫びと状況説明のための文書をお送りしています。

5.再発防止のため、教職員に対して個人情報の保護について、一層の周知徹底を図り、個人情報の適切な管理に努めてまいります。

お詫び状を送ることも大切ですが、大学としてどう手を打ったのか明らかでないと、該当する人の不安は拭えません。
事前の体制作りも重要ですが、事後の対応も同じくらい重要だということを気づかせられる出来事でした。

本blogをお読みの方々の所属先では、どのような管理がなされているでしょう?