個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 21 日、長野県教育委員会における個人情報等の取扱いについて、長野県教育委員会に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 157 条の規定による指導等を行った。
1.事案の概要
本件は、長野県教育委員会が所管する2つの高等学校の教諭2名(各高等学校それぞれ1名)がサポート詐欺1に遭い、当該サポート詐欺を図った攻撃者からの誘導に従い、校務用端末である PC(以下「校務用端末」という。)に遠隔操作ソフトを無断でインストールした結果、当該高等学校の生徒及び教職員に関する保有個人情報の漏えいのおそれが発生した事案である。
2.漏えいしたおそれのある保有個人情報とその本人数
本件により漏えいしたおそれのある保有個人情報は、生徒の氏名、生年月日、住所、成績、生徒指導に関する資料及び進路指導に関する資料等並びに教職員の氏名等であり、本人数は 14,231 人である。
3.法律上の問題点
法第 66 条第1項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。
この点に関し、長野県教育委員会では、個人情報等の取扱いについて、以下の問題点が認められた。
(1) 外部からの不正アクセスの防止の不徹底(技術的安全管理措置の不備)
本件各高等学校では、校務用端末についてインストールを制御する機能が備わっていたにもかかわらず、その設定を怠っていたことから、教職員なら誰でもインターネット上からソフトウェアのインストールをすることが可能な状況であった。
(2) 漏えい等の安全管理上の問題への不十分な対応(組織的安全管理措置の不備)
長野県教育委員会から当委員会に漏えい等報告(確報)が提出されたのは当該事案の発覚後 82 日目であり、当委員会への漏えい等報告(確報)が規定された期間内に行われなかったことから、法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。
4.指導等の内容
(1) 法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。
(2) 策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。
(3) 今後、法第 68 条第1項の規定による報告を要する事態が生じた場合には、規定された期間内に所定の事項を報告すること。また、そのような報告が可能となるよう、漏えい等事案に対応する体制の整備を行うこと。
(4) 再発防止策の実施状況について、関係資料を提出の上、令和6年3月 29 日(金)までに説明するよう求める。