大阪府高槻市の市立中学校で、2年生の生徒2人が教員のタブレット端末からパスワードをのぞき見して入手し、教員用アカウントに不正ログインしていたと報じられました。報道によると、生徒らは他の生徒のテスト結果を閲覧しており、学校の調査では、少なくとも2025年9月から教員アカウントにログインしていたとみられています。
発覚のきっかけは、2026年1月の授業中に教員が生徒の不審な動きに気づいたことでした。事情を聞いたところ、教員専用アカウントへの不正アクセスが判明したとされています。
閲覧可能だった情報の範囲
学校側の調査では、2025年に実施された体育や保健の小テスト結果など、約100人分のデータが閲覧可能な状態だったとされています。このうち、実際に6人分の情報が閲覧されていたということです。
高槻市は、閲覧された情報には秘匿性の高い個人情報は含まれていなかったと説明しています。ただし、成績情報は教育現場において慎重な管理が求められる情報であり、たとえ機微性が限定的と整理されたとしても、教員用アカウントが生徒に不正利用された事実は重く受け止める必要があります。
原因
教育現場では1人1台端末の普及が進み、教員と生徒が同じ空間で日常的に端末を使う環境が一般化しています。そのため、パスワード入力時の視線対策や、端末の一時離席時のロック、教員用権限の追加認証など、一般企業とは異なる運用上の配慮が必要になります。
学校現場で見直すべきポイント
今回の件は、パスワードそのものが漏れたこと以上に、パスワードだけで教員用アカウントへ入れてしまう運用に課題があったことを示しています。教育委員会や学校現場では、教員用アカウントに対して多要素認証の導入が可能か、成績情報や校務情報へのアクセス権が必要最小限になっているか、ログイン場所や利用時間帯の監視ができているかを見直す必要があります。
参照
【独自】中学生が教員のタブレットに不正ログイン、他の生徒の成績を閲覧 のぞき見でパスワード入手 大阪・高槻市
関連記事
ローツェの海外子会社がランサムウェアと不正アクセスの被害、情報流出の有無を調査中
Steamから約8,900万件の情報漏洩した疑惑を運営のValveが否定
但南建設のサーバーが攻撃され顧客情報流出の可能性-積水ハウスの取引先情報にも影響
米裁判所、OpenAIへチャット ログなど全てのログを保存するよう命令-OpenAIは非難
株式会社ヴィンクスの「グーポンサービス」ドメインが第三者に取得されサポート詐欺のサイトへ誘導
LastPass、2022年の不正アクセスで160万人の個人情報漏洩-英国ICOから120万ポンドの罰金(約2億5千万円)
バンダイチャンネル、不正アクセスによるサイバー攻撃で最大136.6万件の個人情報漏洩の恐れ
レインボーシックス シージ(Rainbow Six Siege)、2度目のサイバー攻撃で異常なBan報告も
神戸海星病院、患者29名分の個人情報を含む書類を職員が置き忘れ
