【セキュリティ事件簿#2024-197】公立はこだて未来大学 学生・教職員の氏名及び学籍番号が閲覧可能状態にあったことについて 2024/4/19

公立はこだて未来大学
 

このたび、本学教務システムにおいて、学生・教職員の個人情報が利用者の権限を越えて閲覧・取得できる状態であったことが判明いたしました。直ちにアクセス制限に関する対策を講じましたが、関係の皆さまにご心配とご迷惑をおかけしたことについて深くお詫び申し上げます。今後、このような問題が発生しないよう情報セキュリティに関するチェック体制の強化等、再発防止に努めてまいります。

■事案の概要

令和6年2月29日に本学学生から教員へ報告があり、委託業者が構築した教務システムと連携するアプリを開発する過程で、学生の権限では閲覧できない個人情報を表示させることが可能となっていることが判明し、当該事象を把握することができました。翌日、当該教員が大学へ報告を行い、直ちにアクセス制限を実施しました。その後、教務システムを改修しアクセス制限を解除いたしました。なお、現時点で本学の情報システムから情報が外部に流出したという形跡や被害の報告がないこと、並びに、システムの不具合等が発生していないことを確認しております。

■閲覧できる状態であった情報の内容

・教職員情報(教職員コード、教職員名):488件(退職教職員を含む)

・卒業生情報(学籍番号、漢字氏名):6,120件

・学納金納付者情報(納付者名(学生漢字氏名)、納付者番号):11,425件

・入試合格者学納金納付者情報(納付者番号、受験番号、受験者漢字氏名、入学年度):最大100件

 ※いずれも、電話番号、住所、生年月日、性別等の個人情報は含まれておりません。

■発生原因

教務システムパッケージの脆弱性により、教務システムへのログイン権限を持つユーザが、教務システムへのログイン用ウェブサイトへログインし、その際に利用したウェブブラウザを閉じずに、教務システムのプログラムコード等を解析して得たURLを直接指定してウェブブラウザで呼び出すことで、教務システムとの連携機能が実行され、特定の情報への閲覧権限のないユーザでも、データを閲覧することが可能となっておりました。

■再発防止に向けた取り組み

定期的にシステムの評価・検証を行う体制を構築するとともに、個人情報の取り扱いを含めた情報セキュリティの確保について、改めて委託業者、本学構成員に対し周知徹底し、情報セキュリティに対する取り組みを強化してまいります。

リリース文アーカイブ