【セキュリティ事件簿#2024-325】上智大学 ソフィアメールシステム上で学生間・卒業生間の個人情報が閲覧可能になっていた事案について 2024/7/16

 

このたび、本学学生・卒業生のみが利用できるソフィアメールシステム(以下本システム)において、ログインした在学生・卒業生が、同一グループ内の個人情報(学生氏名と学生番号を含んだアカウントID)を互いに閲覧できる状態であったことが判明しました。既に設定を変更し、閲覧できない状態としております。なお、パスワードの流出はありません。

学生・卒業生及びご父母・保証人の皆様、そして関係者の皆様に大変なご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

1. 経緯等

2024年6月19日(水)に、本学学生から情報システム室サポート窓口宛に、本システムにおいて一定の手順を踏むと、他の学生の個人情報(氏名・学生番号を含んだアカウントID)が閲覧可能な状態にあるとの連絡が入りました。翌6月20日(木)に本システムのサポートベンダー等に事実関係や原因、対処方法について問合せをいたしましたが、事象の解消に至りませんでした。

その後、2024年7月8日(月)に、システム上の設定の漏れを確認し、対処いたしました。 また、7月11日(木)に別管理ツールの設定を確認し、しかるべく対処いたしました。なお、調査の過程において、卒業生グループのユーザーも、個人情報(氏名・在籍時の学生番号を含んだアカウントID)を相互閲覧できる可能性があったことが判明しました。こちらについても、設定変更を実施し、対処が完了しております。

2. 同一グループ内(※)で閲覧可能となっていた個人情報

① 個人情報の項目

学生氏名、学生番号を含んだアカウントID  ※パスワードの流出はありません。

(卒業生は在籍時の学生番号を含んだアカウントID)

②個人情報の数

【学生グループ】

上智大学と上智大学短期大学部の学生15,160名(うち23名は短期大学部卒業生)

【卒業生グループ】

2016年3月以降の上智大学、上智大学短期大学部、上智社会福祉専門学校生の卒業生

2016年1月以降、専任・常勤の教職員として勤務し、その後退職された方々

計36,275名

(※)このグループは、在学生が含まれる「学生グループ」と、主に卒業生で構成される「卒業生グループ」の2種類があり、自身が所属するグループ以外は閲覧できない仕様でした。

3.対応状況と今後について

2024年7月8日と7月11日に設定を変更して、既に閲覧できないようにしております。対象となった学生・卒業生に対しては、メールで個別に謝罪と本事案についての説明の連絡を行っております。また、個人情報保護委員会および文部科学省にも報告しております。

本システムは学外者の閲覧ができないものであり、現時点において学外への情報漏えいや外部から情報が盗み取られた形跡や、当該個人情報が悪用されるといった事実も確認されておりません。クラウドツールは仕様変更の頻度が多いため、定期的に最新情報を収集し、各種システムの運用に真摯に取り組んでまいります。今後、再びこのような事態が生じることのないよう、サポートベンダーとの緊密な連携を図ります。

リリース文アーカイブ