2025年6月、さいたま市の市立学校においてグループウェアの設定不備により、生徒や保護者に関する個人情報が閲覧可能な状態となっていた2件の事案を公表した。
経緯
<事案1:アンケート結果の誤表示>
2025年4月24日、当該校の教諭が全生徒を対象に「心と生活のアンケート」をグループウェア上で作成したが、結果一覧表が全生徒から閲覧できる設定となっていた。
翌25日、午前8時40分からアンケートが実施され、午前9時、生徒が結果一覧を閲覧できることに気づいて報告。
午前9時55分には教諭が設定を修正した。アクセスログの確認により、該当データには報告した生徒1名しかアクセスしていなかったことが判明した。
<事案2:校内テスト成績の誤表示>
2024年1月25日に実施された校内テストの成績一覧が、グループウェアを通じて当該学年の生徒から閲覧できる状態で保存されていたことが、2025年5月22日に発覚した。
同日15時、生徒からの報告を受けてICT担当教諭が問題のファイルを削除。
その後のログ調査により、発見した生徒1名以外にアクセスした形跡は確認されなかった。
被害状況
事案1では、全校生徒547名分の氏名、学年、学級、ならびに心の悩みや困りごとなどのアンケート回答が一時的に閲覧可能となっていた。
事案2では、156名分の氏名、出席番号、テストの点数および偏差値が記載された成績一覧が一時的に閲覧可能な状態となっていた。
いずれの事案においても、外部への二次的な流出や拡散は確認されていないという。
原因
事案1は、グループウェアの閲覧権限に関する理解不足により、正しく設定されていなかったことが原因。
事案2は、電子採点ソフトの操作に関する知識不足により、成績一覧が意図せず共有されたことが原因とされている。
対応
事案1(アンケート結果)
2025年4月25日に全生徒・保護者に謝罪と報告を実施。
翌26日には保護者会でも謝罪と詳細報告を行った。
事案2(校内テスト成績)
2025年5月23日に全生徒・保護者へ概要報告と謝罪を実施。
5月27日に生徒へ詳細報告と謝罪、翌28日に保護者へも詳細説明を行った。
再発防止策
さいたま市は以下のような再発防止策を講じる方針を明らかにした。
・情報セキュリティポリシーに基づいた運用規定やマニュアルの再編
・外部講師によるICT研修の実施を含めた職員研修の強化
・教育委員会の担当部門やシステム運用業者と連携し、システム運用の見直しを実施
・校内での個人情報の保存状況をICT担当教諭が定期的に点検し、管理職が監督を強化
さいたま市は今後、学校現場での個人情報の取り扱いにおいて、より一層の慎重さと技術的な理解の徹底を図るとしている。
【参考記事】
https://www.city.saitama.lg.jp/
