学生・教職員の個人情報が外部から閲覧・取得できる状態にあったことについて(2021年1月26日)

公開日

令和3年1月26日

情報担当理事 平島 崇男
情報環境機構長 喜多

 既に報道されているとおり、このたび、情報環境機構が構築した認証システムにおいて、学生・教職員の個人情報が外部から閲覧・取得できる状態であったことが判明いたしました。直ちにアクセス制限に関する対策を講じましたが、約半年間にわたり、このような状態が続き、その後の対応も含めて、関係の皆さまにご心配とご迷惑をおかけしたことについて深くお詫び申し上げます。
 また、関係の皆さまに詳しい説明のないまま、報道が先行したことにより、更なるご心配をおかけしたことについて重ねてお詫び申し上げます。
 今後、このような問題が発生しないよう情報セキュリティに関するチェック体制の強化等、再発防止に努めてまいります。

事案の概要
 令和3年1月4日に本学職員が学内システムを調査していたところ、約半年間にわたって、本学構成員約4万人の氏名、ID、暗号化されたパスワード、メールアドレスが外部から閲覧・取得できる状態になっていたことを発見いたしました。これは、令和2年6月に本学の情報システムへのアクセスをより強固なものにするために認証システムを構築するにあたって、管理サーバとの連携を行う際に必要なアクセス制限の設定を怠るという人為的なミスに起因するものでした。
 当該サーバのアクセスログについて確認したところ、データの取得に成功した形跡はありません。

外部から取得できる状態であった情報の内容及び該当者数
 氏名、ID、暗号化されたパスワード、メールアドレス
 合計 40,751名〔学生等(ECS-ID利用者):27,861名、教職員(SPS-ID利用者):12,890名〕

本件の対応
 令和3年1月4日に本事案が判明し、直ちにアクセス制限を実施しました。その後、学内関係会議で事案を報告の上、教職員及び学生個人宛のメールにおいて、パスワードの変更を依頼しています。今後も、早急に全構成員のパスワード変更を完了すべく取り組んでまいります。
 なお、1月26日現在においては、本学の情報システムから情報が外部に流出したという形跡や被害の報告がないこと、並びに、システムの不具合等が発生していないことを確認しております。

再発防止策
 情報セキュリティ対策の強化を図るため、パスワードの強化(パスワードガイドラインの変更)、情報システム新規導入時及び改修時のセキュリティチェック体制の強化等に取り組んでまいります。