学生個人情報が格納されたノート型パソコンの紛失について
2004年7月7日
札幌学院大学
 
 先日、テレビ、新聞等で、本学の電子計算機センターからノート型パソコンが1台紛失したという事件が報じられました。このパソコンには学生の皆さまの個人情報(学籍番号、氏名、住所、電話番号など)が格納されていました。現時点で情報漏えいの事実は確認されていませんが、個人情報が悪用されるおそれを否定することはできません。
 学生及びご父母の皆さまには誠に申し訳なく衷心よりお詫び申し上げます。

 このような事態を招いた背景には大学の管理体制に不備があったことを認めざるを得ません。本学では、こういった事態が二度と起きることがないよう、現在、大学全体で個人情報保護を中心とした情報セキュリティ対策に取り組んでおります。

 以下に、事件発生から現在に至る経過及び対応についてご報告申し上げます。

4月26日(月)
 午後、センター施設内からパソコンが紛失していることが発覚しました。このパソコンは、システム開発用に外部委託業者に貸与していたノートブック型パソコン5台のうち1台で、4月23日(金)には業者によって所在が確認されています。
 業者へ事情聴取を行ったところ、ネットワーク上のサーバに格納している学生個人情報を当該パソコンにダウンロードしている可能性があることが判明しました。
 この事態の重要性に鑑み、同日夜、江別警察署に被害届を提出しました。同夜には警察による現場検証が行われました。

4月27日(火)
 当該パソコンを使用した委託業者のSE全員に聞き取り調査を行った結果、学生個人情報を当該パソコンにダウンロードしたこと、さらにこれを適切に消去していないことはほぼ間違いないということが判明しました。
 委託業者が作業を行っていた施設(マシン室)は、本学の職員がシステム管理や各種オペレーションを行う施設でもあり、業務時間中は常時開錠されていました。これを改め、作業で立ち入る以外は完全施錠することといたしました。

4月28日(水)
 監督省庁である文部科学省の高等教育局私学部私学行政課に電話で盗難の事実を報告しました。
 マシン室に入退室管理簿を備え、委託業者のSEの入退室記録を徹底することといたしました。また、システムの動作確認等のためサーバから個人情報をダウンロードする必要がある場合には、作業終了後のデータ消去に至るまで、大学側と業者側双方の管理責任者の了解と確認のもとで行う体制としました。

4月30日(金)
 大学協議会で報告を行い、全教職員に事実を周知するとともに、学長名で研究室や事務室における情報管理の徹底について通達しました。

 同時に、約1年間にわたって検討を進めてきた「情報セキュリティに関する基本方針」を制定するとともに「学生個人情報データベースで管理する学生個人情報の保護に関する規程」及び「学生個人データの安全管理措置に関する取扱要領」を定め、学内の情報セキュリティ及び個人情報保護に関する徹底を図ることといたしました。

 当事者である以下の方々に対して、学長名で事実の報告とお詫びを行いました。
(1) 在学生
  学内公用掲示板及び情報ポータルサイトを通じて、全学生に事実の報告とお詫びを行いました。
(2) 休学中の学生
  事実の報告とお詫びの文書を印刷し、郵送する準備を行いました。
(3) 2003(平成15)年度に在籍されていた方々のうち、当年度内に卒業、退学あるいは除籍となった方
  事実の報告とお詫びの文書を印刷し、郵送する準備を行いました。

5月6日(木)
 上記の(2)と(3)の文書を発送しました。

5月24日(月)
 個人情報の適正な利用と保護に関する具体的な実施手順を周知するため、職員に対して「学生個人データの安全管理措置に関するガイドライン」を配布しました。

6月3日(木)
 事務室内のすべてのパソコンについて、盗難防止のための物理的対策(セキュリティーワイヤーロック)を講じました。

6月7日(月)
 事件発生後1か月を経過したことから、当事者である学生及び卒業生等の皆さまに対して、4月30日と同様の方法で、この間の経過報告を行いました。
 あわせて、お問い合わせ用の窓口を開設しました。

6月24日(木)
 個人情報保護に関する具体的な実施手順を周知するため、専任教員に対して「研究室におけるパソコン利用に関するガイドライン」を配布しました。

7月7日(水)
 同ガイドラインを非常勤講師の方々にも配布し、個人情報保護に関する協力を要請しました。

 事件直後に当事者の皆さまにご報告を行った後、現在に至るまで、問い合わせ窓口には在学生、父母、同窓生の皆さまから個人情報漏えいに関して数件の情報提供を頂戴しております。これらについては、警察とも協力しながら逐次調査を行いましたが、いずれも今回の紛失事件との関連性はないことが判明しております。
 なお、紛失したパソコンにはユーザーIDとパスワードの設定がされており、誰もが容易に利用することはできない状態にあります。また、コード化されたデータを含め、すべてのデータを解読することは難しい状態にあります。
 現時点で個人情報が漏えいしたという事実は確認されておりませんが、大学としては今後も捜査機関と協力して事件の解決に向け努力する所存です。当該パソコンについては、早期発見へ向けて警察による捜査が継続しております。


 本学では、今回の事件を深刻に受け止め、再発防止のために理事長及び学長を情報セキュリティ責任者とした情報セキュリティ審議会及び情報セキュリティ委員会を設置し、個人情報保護を中心としたセキュリティ対策に取り組むことといたしました。
 今後は、教職員一人ひとりに対する教育を徹底し、個人情報保護に関する意識の向上に努めていく所存です。

 これからも、本学の伝統である学生・卒業生の皆さまと教職員が力を合わせた大学づくりを進めて行きたいと考えておりますので、何卒ご理解とご高配を賜りますようお願い申し上げます。
紛失したパソコンに格納されていた個人情報に関わる方は、以下のとおりです。
・ 2004(平成16)年度在学生及び休学者
・ 2003(平成15)年度に在籍されていた方のうち、当年度内に卒業、退学あるいは除籍となった方

Copyrights (C) 2005 札幌学院大学 情報セキュリティ委員会. All Rights Reserved.