札幌市立小学校の教頭が私物のUSBに児童と保護者の個人情報を無断で保存し紛失。200名の個人情報漏洩の可能性|セキュリティニュース

投稿日時: 2025年02月11日更新日時: 2025年02月11日

札幌市教育委員会は2025年2月10日、札幌市立小学校の50代男性教頭が、児童および保護者約200人分の個人情報が保存されたUSBメモリーを紛失していたことを公表しました。

個人情報漏洩の経緯

札幌市教育委員会によると、教頭は2011年から2016年にかけて、自宅で作業を行うために授業風景の撮影データ、座席表、児童の所見案などを記載した電子ファイルを私物のUSBメモリーに保存していました。

2016年2月以降、そのUSBメモリーを使用することなく、ジャケットのポケットに入れたまま放置。その後、2024年8月にジャケットごとリサイクルショップに売却したことにより、USBメモリーの所在が不明となりました。

紛失から約8年後の2025年1月29日、匿名の情報提供者から札幌市教育委員会にUSBメモリーが郵送され、情報漏えいの事実が発覚しました。

USBメモリーの中には、以下のような個人情報が保存されていたことが確認されています。

現時点では、USBメモリーを郵送した匿名の情報提供者以外に情報が第三者に閲覧・流出した形跡は確認されていません。 しかし、リサイクルショップを経由していることから、情報が不特定多数の人の手に渡った可能性を完全に否定することはできません。

札幌市教育委員会は、対象となる児童や保護者の特定を進め、連絡先が把握できた対象者には説明とお詫び文を送付する予定としています。

本件は、学校現場での個人情報管理の甘さが招いたインシデントであり、教育機関における情報セキュリティ対策の見直しが求められます。特に、以下の点が問題点として浮き彫りになりました。

個人情報の持ち出しルールの不備
- 教頭が私物のUSBメモリーに児童の個人情報を保存し、自宅作業を行っていた点が最大の問題です。私物の記録媒体を持ち込み保存できるということ
  一般的な企業のセキュリティポリシーでもありえませんし、企業や組織が把握していないクラウドサービスやPCやスマートフォンやタブレット、サーバー、USBを利用する「シャドーIT」となりセキュリティホールに繋がります。
記憶媒体の管理不足
- USBメモリーが8年間も放置され、その存在すら忘れられていたことは、情報管理体制の甘さを示しています。定期的なデータ管理や不要データの適切な処分が徹底されていなかったことが問題です。
情報漏えいリスクの認識不足
- リサイクルショップへの売却という行為が、どれほど情報漏えいリスクを高めるのかについての認識が不足していました。電子データの取り扱いに関する基本的な教育が求められます。