この度、京都工芸繊維大学(以下「本学」)が管理する学務系の総合システムのうち、「掲示板システム」及び「メール配信システム」において、一部のファイルが外部から閲覧・取得できる状態であったことが判明いたしました。学生、教職員をはじめ関係者の皆様にご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。
今後、このような事態が生じないよう情報セキュリティに関するチェック体制の強化等、再発防止に努めてまいります。
なお、公表に当たっては、事実関係を正確にお伝えするため、今回の事案が確認されて以降徹底した調査を実施し、情報の範囲を確認するため時間を要し、このたびの公表となりましたことを重ねてお詫び申し上げます。
1.事案の概要
(1)要約
本学学務系の総合システムにおいて、一部ファイルが外部から閲覧・取得可能な状態にあったことが判明しました。対象は掲示板システムのお知らせや学生向けメール添付ファイルなどで、最終的に約1万件のファイルを確認したところ、544件に個人情報が含まれており、実人数では2,539名に影響が及ぶ可能性がありました。
現在までに不正利用は確認されておらず、学内専門チームにより原因調査と再発防止策を進めております。
(2)詳細
本学が平成23年に導入した学務系の総合システムにおいて、掲示板システムのお知らせ情報や学生向けメール配信の添付ファイルなどが同一フォルダに保存される設計となっており、外部から閲覧・取得できる状態であったことが判明しました。
当該フォルダには、導入以降長年にわたってファイルが蓄積され、最終的には掲示板システムのお知らせ情報に掲載のファイル5,813件、メール配信システムのメール配信機能における添付ファイル2,599件及びこれらのいずれかのシステムに置かれていたその他のファイル1,649件が保存されていました。
そのうち、544件のファイルには氏名や学生番号、連絡先などの個人情報が含まれており、うち1件には個人情報保護法上の要配慮個人情報に該当する情報が含まれておりました。
これらのファイルには、複数人分の情報が含まれるものもあり、実際に個人情報が記録されていた人数は2,539名であることを確認しております。
また、この状態は当該システムを導入した平成23年から継続していたと推測されており、アクセスログが確認できる令和6年8月8日から令和7年8月7日までのデータについて、調査を進めております。
なお、現時点で不正利用の事実及びそのおそれは確認されておりません。
2.判明の経緯と対応状況
令和7年8月7日、外部から、学内限りで利用すべきお知らせファイル1件について、外部から閲覧可能であるとのご指摘を受け、本学で直ちに当該サイトの外部からのアクセスを遮断し、当該ファイルを削除いたしました。調査の結果、学務系総合システムの掲示板システムに掲載していた当該ファイルが誤って学外公開の設定になっていたことが判明いたしました。
さらに、状況確認の一環として学務系総合システムに係る他のシステムについて緊急点検を行ったところ、掲示板システムのお知らせファイルと学生向けメール配信機能における添付ファイルが同一フォルダに保存される設計となっていたため、外部から閲覧・取得できる状態になっており、当該フォルダのシステム設計に不備があることが確認されました。これらの全ファイルをサーバ上から移動し、ローカル環境に退避させており、現在は外部からアクセスすることはできません。
現在は、学内の専門チームにて、原因の特定と影響範囲の最終確認並びに再発防止策の検討を進めております。
3.外部から閲覧・取得できる状態であった情報の内容及び該当者数
人数はそれぞれの内容に該当する人数であり、複数の内容に該当される方がおられるため、「1.事案の概要」に記載されている数字と以下の合計は異なっております。
【学生に関する次の内容】
| (1)要配慮個人情報に関する書類に記載された平成28年度の健康診断証明書:1名 |
| (2)振込口座情報に関する書類に記載された令和2年度の振込口座番号、通帳の写しなど:2名 |
| (3)経済状況に関する書類に記載された平成30~令和5年度の家計状況、収入額、奨学金申請情報、留学生生活実態調査情報など:26名 |
| (4)授業料、奨学金等に関する書類に記載された令和元年以降の氏名、電話番号、保証人名及び住所など:108名 |
| (5)成績・修業に関する書類に記載された平成26年度以降の学生番号、氏名、成績、異議申立、編入学前所属機関名、単位認定など:137名 |
| (6)学籍に関する書類に記載された平成26~令和6年度の学生番号、氏名、所属専攻、学籍異動情報、保証人情報及び住所など:21名 |
| (7)留学生調査に関する書類に記載された平成30年度の学生番号、氏名など:3名 |
| (8)学生表彰に関する書類に記載された平成27、28年度の氏名、選考結果など:8名 |
| (9)ティーチングアシスタントに関する書類に記載された平成25、令和2、3年度の学生番号、氏名など:27名 |
| (10)授業関係連絡に関する書類に記載された平成26~令和6年度の学生番号、氏名、住所、インターンシップ先など:1,002名 |
| (11)事務文書に関する書類に記載された平成30、令和5年度以降の学生番号、氏名、催事における役割分担など:261名 |
| (12)その他に関する書類に記載された平成28、令和5、6年度の氏名など:3名 |
【学生の関係者に関する次の内容】
| (1)授業料、奨学金等関係に関する書類に記載された令和7年度の保証人・家族の氏名など:10名 |
| (2)経済状況に関する書類に記載された令和3、4年度の保証人・家族氏名、収入額など:8名 |
| (3)学籍関係に関する書類に記載された平成26年度の学籍異動願の保証人の氏名、住所、電話番号:1名 |
【学外者に関する次の内容】
| (1)授業料、奨学金等関係に関する書類に記載された令和元、3年度の採択機関の住所、代表者の役職、氏名:2名 |
| (2)学生表彰関係に関する書類に記載された令和6年度の表彰者の氏名など:1名 |
| (3)授業関係連絡に関する書類に記載された平成29、令和元、5年度の本学地域創生Tech Program受入先等の担当氏名、所属・役職、事業実施テーマなど:29名 |
| (4)授業関係連絡に関する書類に記載された令和5、6年度のインターンシップの受入先の担当氏名、メールアドレス、実施内容など:16名 |
| (5)授業関係連絡に関する書類に記載された令和5、6年度の教育実習の受入先の担当氏名、メールアドレスなど:4名 |
| (6)授業関係連絡に関する書類に記載された令和5年度の聴講生受入機関の代表者の役職、氏名:1名 |
| (7)他機関就職関係窓口担当者に関する書類に記載された平成29~令和4年度の勤務先、氏名、電話番号(職場)、メールアドレス:749名 |
【非常勤講師に関する次の内容】
| (1)成績・修業関係に関する書類に記載された平成30年度以降の成績異議申立における回答者:26名 |
| (2)授業関係連絡に関する書類に記載された令和3年度の授業担当者:1名 |
【教職員に関する次の内容】
| (1)要配慮個人情報に関する書類に記載された平成28年度の健康診断証明書の証明者:1名 |
| (2)授業料、奨学金等関係に関する書類に記載された令和元~3年度の奨学金等結果通知者または担当者:4名 |
| (3)成績・修業関係に関する書類に記載された令和元年度以降の証明書類発行者または連絡先:16名 |
| (4)学籍関係に関する書類に記載された平成26~令和6年度の学籍異動通知者または担当者:5名 |
| (5)ティーチングアシスタントに関する書類に記載された平成25、令和2・3年度の授業担当者:5名 |
| (6)授業関係連絡に関する書類に記載された平成26~令和6年度の授業担当者:94名 |
| (7)事務文書に関する書類に記載された平成30、令和5年度以降の送り主、会議参加者、催事の役割分担者:87名 |
| (8)その他に関する書類に記載された平成28年度の氏名等:1名 |
4.関係者への対応
現時点で、当該個人情報の不正利用は確認されておりませんが、本事案を重く受け止め、影響を受けるおそれのある方々に対して、順次個別にご連絡を差し上げております。5.再発防止策
本学では、今回の事案を厳粛に受け止め、再発防止策を実施してまいります。原因はシステムの設計上の不備にあり、本来制限されるべき情報が外部から閲覧・取得できる状態となっていたものです。今後は、学務系総合システムをはじめとする全学的なシステムについて点検を行い、設計上の問題がないかを確認し、必要な改修を順次進めてまいります。また、新たなシステムの開発や改修に際しては、必要に応じて外部専門機関の協力を得ながら設計段階から確認を行うなど、同様の事態が再び生じないよう再発防止を徹底してまいります。
さらに、個人情報の取扱いなど情報セキュリティ対策について、より一層の周知徹底を図り、再発防止に真摯に取り組んでまいります。
リリース文(アーカイブ)
