法政大学で最大1万6千人超の個人情報が漏洩の可能性 日鉄ソリューションズ社の不正アクセスによるサイバー攻撃で

セキュリティニュース

投稿日時: 更新日時:

法政大学で最大1万6千人超の個人情報が漏洩の可能性 日鉄ソリューションズ社の不正アクセスによるサイバー攻撃で

2025年8月6日、法政大学は同校の学生および教職員の個人情報が不正アクセスにより外部へ漏洩した可能性があると発表しました。情報漏洩の発端は、大学が情報ネットワーク管理を委託している日鉄ソリューションズ株式会社の社内ネットワークが、外部からの不正アクセスを受けたことによるもので、影響を受けた可能性のある人数は最大16,542名に上ります。

不正アクセスの経緯と発覚まで

事案が発生したのは2025年3月7日。日鉄ソリューションズ社のサーバーに対して不審なアクセスが検知され、同社は即座にネットワークから該当サーバーを隔離。以後、外部の専門家と連携しながら調査が進められ、サーバー内に保存されていた法政大学関連の個人情報が外部に漏洩した可能性があることが判明しました。

インターネット上やダークウェブ等への情報掲載は現在までに確認されていないものの、完全な否定ができないため、対象者への通知と注意喚起が行われることとなりました。

漏洩の可能性がある個人情報と対象者

対象者数(合計16,542名)

  • 2000年度~2022年度に入学した学生:8,363名(通信制学生含む)

  • 2018年度~2022年度に在籍した教職員:7,438名

  • 区分不明:741名

流出の可能性がある情報内容

  • 氏名

  • メールアドレス

  • 電話番号

  • 所属

  • 統合認証ID(SSO用のアカウント情報)

クレジットカード番号やマイナンバーなどの機微情報・機密性の高いデータは含まれていないと説明されています。

事案への対応状況(時系列)

日付 対応内容
3月7日 日鉄ソリューションズ社が不正アクセスを検知し、対象サーバを隔離
3月21日 同社が警察へ被害届を提出
3月27日 同社が法政大学に初報を提出
4月17日 同社が漏洩の可能性を報告
4月28日 法政大学が文部科学省に報告
5月9日 法政大学と日鉄ソリューションズが個人情報保護委員会へ確報提出
6月23日 最終調査報告書を大学側へ提出

通知対応と今後の再発防止策

法政大学では、影響を受けたとされる対象者のうち、連絡が可能な2,892名に対して電子メールで通知を実施。すでにメールアカウントが無効化された卒業生など13,650名には大学公式サイトを通じて説明とお詫びを行うとしています。

また、大学は今回の事案を受け、個人情報の取り扱いに関する内部教育の再徹底や、委託業者に対するセキュリティ管理体制の見直しを進めていくと表明しています。

ダークウェブ調査・被害状況

日鉄ソリューションズ社および法政大学では、流出した可能性のあるデータがSNSやダークウェブ等に掲載・流通していないかの調査を継続しており、現時点での漏洩確認や二次被害の発生はないとのことです。ただし、今後の展開次第では個人情報の悪用リスクも排除できないため、関係者には不審な電話・メールに対して十分な注意が呼びかけられています。

情報システム部門向けのポイントと教訓

本事案から得られる教訓は以下のとおりです:

  • 委託先管理の脆弱性が自組織のデータリスクに直結する構造であること

  • 情報漏洩の可能性が否定できない段階でも、早期の説明責任と注意喚起が重要であること

  • 統合認証情報(ID)が漏洩した場合は、将来的な不正ログインやなりすましリスクを伴う点に留意すること

  • 機微性の低いデータであっても、対象者数が多い場合は社会的・組織的影響が大きくなること

今後、同様のリスクを未然に防ぐためにも、委託業者におけるアクセス監視や異常検知体制、ゼロトラスト的な設計思想の導入が重要です。