熊本市教委、進学支援金申請者562人分の個人情報が誤設定により漏洩|セキュリティニュース

投稿日時: 2025年04月04日更新日時: 2025年04月03日

2025年4月3日、熊本市教育委員会は、進学支援金の申請に関わる中学3年生562人分の個人情報が、市のホームページ上で閲覧可能な状態になっていたことを公表しました。

インシデント対応の概要

漏えいした情報は、支援金申請者の氏名、生年月日、年齢など。

対象は、生活保護世帯や市民税所得割非課税世帯に該当する、2023年度の中学3年生です。

本支援金制度は、経済的支援を必要とする家庭に対し、高校等進学に伴う費用負担を軽減する目的で、一律4万円を支給する制度です。

熊本市教育委員会の発表によると、2023年12月26日から2024年3月16日までの約81日間、市のウェブサイト上に掲載された資料に、黒塗り処理が施された氏名欄に実際の文字データが残っていたことが原因でした。

つまり、見た目上は黒く隠されていたものの、特定の操作（例：コピー＆ペーストやPDFのテキスト抽出など）によって、データの中身が復元できる状態だったとみられます。これは、形式上のマスキング処理と実データ削除の違いに対する認識不足が招いた典型的なヒューマンエラーです。

熊本市教委は、事案が判明した後、対象となった全562名の保護者宛てに謝罪文と説明文書を郵送したとしています。また、原因となったファイルは既に削除され、再発防止に向けた調査と対策を進めているとのことです。

今回の事案は、単なるファイル処理ミスが深刻な個人情報漏えいにつながった典型例です。特に以下のポイントに注意が必要です。

職員によるチェックのみに頼らず、第三者レビューやツールによるPDF内テキスト抽出確認など、マルチレイヤの確認体制が重要です。

特に行政機関では、個人情報を扱う文書については、「非公開情報を含む文書の加工方法」に関する明確なマニュアル整備と研修の徹底が求められます。

運用負担を減らすためにも、公開文書を処理する前に自動でテキストを削除・画像化する仕組みの導入も検討すべきでしょう。

今回のような情報漏洩の事例は、どの組織でも起こり得ます。しかし、「見えないが実は残っている」というデジタル特有の落とし穴への理解があれば、防げる可能性も高い事故です。

今後、自治体や企業においても、マスキング処理に対する誤解をなくし、形式ではなく「実体」の安全性を担保する情報公開プロセスの見直しが求められます。

一部参照