【セキュリティ事件簿#2023-182】函館大谷高等学校 個人情報漏えいの疑いに関するお詫びとご報告 2023年4月17日


令和5年3月、令和4年3月および令和3年3月に生徒等の個人情報が漏えいした可能性があることについて、以下にご報告いたします。

(概要)
令和5年3月22日11時14分、新入生の氏名印作成に必要なデータ(119名分)について、本校事務職員が制作業者の使用するメールアドレスに送信すべきところ、誤ったメールアドレス(以下、誤アドレス)にこれを送信。同日11時47分、制作業者からメールが届いていない旨の連絡があり、再送。これも不着となり、制作業者に確認したことにより、送信先のメールアドレスが誤っていたことが判明しました。
この誤送信に対してメールサーバーはエラーメッセージを返しておらず、誤アドレスは実在する可能性が極めて高いと推察されます。なお、調査の結果、以下のとおり、同様の事例が過去にも生じていたことが発覚しました。
  • 令和4年3月18日16時16分 令和4年度 新入生134名分
  • 令和4年3月18日16時26分 上に同じ
  • 令和3年3月18日13時19分 令和3年度新入生106名、在校生1名および新任職員3名分
個人情報はメールにExcel形式のファイルで添付されており、記載内容は以下のとおりです。
  • 受検番号
  • 氏名
  • 氏名カタカナ
(対処)
令和5年3月24日20時29分、誤アドレス宛に謝罪および報告をおこなうも、令和5年4月15日現在、これに返信はありません。同日18時2分、アドレスから推察されるプロバイダ運営法人の法人専用相談ページより対応を乞う連絡をおこない、これによって案内された問い合わせ電話窓口より経緯を報告するとともに、対応を依頼しましたが、一切おこなえないとの返答でした。

現時点では誤送信の相手によるメール開封について確認をすること、およびこれを回収することは事実上不可能と判断されます。データには氏名以外の個人に紐づけられる情報は含まれておらず、万一、データが閲覧された場合も悪用の可能性は低いと考えられ、また代表的な検索エンジンで当該のデータを検索しても、検索結果に表示されないことから、データが流出した可能性は極めて低いと考えられますが、重要な情報が届くべきではない第三者に届いたことは確実と思われ、このことについて、ご報告いたしますとともに、深くお詫び申し上げます。

本校は、今後このようなことが再び起こらないよう、メールをはじめとする連絡において個人情報を扱う際のルールを見直し、改善をおこないます。また、生徒をはじめとする学校関係者のプライバシーとセキュリティを守るべく、全力を尽くす所存です。

最後に、生徒、保護者各位と学校に関わるすべての方々の信頼を裏切ることになりましたこと、重ねてお詫び申し上げます。なお、4月18日、緊急全校集会を開催し、本件について全校生徒に通知、報告をおこなうとともに、保護者各位には書面にて通知、報告を行う予定です。ご不明な点等がございましたら、どうぞお問い合わせください。