2026年2月18日、学校法人東海大学は、業務委託先 株式会社東海ソフト開発のサーバへの不正アクセスに関する調査状況を公表し
このサイバー攻撃で最大19万3118人の個人情報漏洩の恐れがある事を発表しました。
概要
東海大学側の第2報(2026年2月18日)では、本件の委託先が株式会社東海ソフト開発であり、攻撃者が委託先ネットワークへ侵入してランサムウェア攻撃を行ったとの報告を受けたと説明しています。
現時点で東海大学の学内ネットワークへの直接侵入の形跡は確認されていない一方、委託先側に個人情報が存在していた運用実態も含め、個人情報漏えいが確認されたとしています。
本来委託業務は、本法人構内での現地作業及び、本法人環境へ接続して行う作業ルールがありましたが、委託先が社内へデータを持ち帰るなどの
運用ルールと異なる対応があり、個人情報が委託先に存在していました。一方で大学側も委託先への個人情報の安全管理が徹底できていなかったとしてます。
漏洩した可能性のある個人情報
漏えい対象は最大で延べ193,118人とされ、
対象区分には学生、学生保護者、入学予定者、役員・教職員、付属校の生徒・卒業生、付属病院健診受診者、個人取引先等が含まれます(ユーザーID単位で集計のため重複あり)。また、クレジットカード情報は含まれず、漏えい情報の不正使用も現時点で確認されていないとしています。
内訳
| 対象区分 | 対象者数 | 漏えいが確認された個人情報 |
|---|---|---|
| 東海大学学生(2020年度から2025年度/卒業・退学・除籍・入学辞退者を含む) | 76,314人 | 氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するためのID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職 |
| 東海大学学生の保護者(2020年度から2025年度/卒業・退学・除籍・入学辞退者を含む) | 45,810人 | 同上 |
| 東海大学入学予定者(2024年度入学) | 5,482人 | 同上 |
| 役員・教職員(退職者を含む) | 49,816人 | 同上 |
| その他(取引先関係者等で本法人の業務システム利用権限を有する方) | 3,004人 | 同上 |
| 九州東海大学卒業生 | 594人 | 氏名、生年月日、学籍番号、在籍学部学科研究科名、卒業年度、証明書発行年月日 |
| 付属高等学校・中等部生徒(2023年度から2025年度入学) | 5,283人 | 氏名、生徒番号、学園(学校)のシステムを利用するためのID・パスワード、及び一部の生徒については、性別、生年月日、年・組・出席番号、皆勤状況 |
| 付属高等学校・中等部生徒卒業生(退学等を含む) | 6,597人 | 氏名、生徒番号、学園(学校)のシステムを利用するためのID・パスワード、及び一部の生徒については、性別、生年月日、年・組・出席番号、学園試験結果の一部(付属相模高等学校2000年度入学)、所属(付属相模高等学校2001年度入学) |
| 付属八王子病院健診受診者 | 186人 | 氏名、性別、年齢、生年月日、住所、患者番号、健診情報 |
| 個人取引先等 | 32人 | 氏名、金融機関口座情報、学籍番号 |
| 合計 | 193,118人 | ー |
東海大学は、個人情報保護法に基づく本人通知に向けて対象者の特定を行い、2026年2月17日から郵送等で順次通知を開始したとしています。連絡先確認が難しい対象者については、ウェブでの公表を通知の代替とする方針です。
一方、東海ソフト開発は第4報で、個人情報保護委員会・外部専門機関・警察と連携して調査を進め、漏えい確認に至ったこと、影響が確認された取引先へ個別連絡を行っていること、二次被害が現時点で確認されていないことを公表しています。
情報システム部門が押さえるべき論点
東海大学の第2報では、本来は学内での現地作業や学内環境へ接続して作業するルールがあった一方で、委託先社内へデータを持ち帰るなど運用ルールと異なる対応があり、個人情報が委託先に存在していたこと、委託先への安全管理が徹底できていなかったことが明記されています。
委託先管理の観点では、少なくとも以下を平時から点検しておく必要があります。
-
データの持ち出し可否と例外運用の封じ(端末制御、DLP、作業場所の制約、ログ監査)
-
委託先のアクセス管理(認証情報の保護、MFA、特権ID運用、リモート接続の監視)
-
事故時の連絡・報告ライン(調査報告書の提出期限、初動分離、通知・窓口設置の要件)
-
委託契約での安全管理措置の明確化と、定期点検・監査(東海大学も再発防止として監査等の強化を掲げています)








