教員がスミッシング被害に、規定に反し利用のクラウドストレージの個人情報が閲覧可能に

　国立大学法人大阪教育大学は5月24日、同学教員の私的アカウントへの不正アクセスによる情報漏えいについて発表した。

　これは5月3日に、同学教員個人のスマートフォン宛に宅配業者を名乗るショートメール（SMS）が届き、荷物の宅配予定があったため、要求されたクラウドサービスに影響を及ぼすIDとパスワード並びに2ファクター認証コードを5月4日に入力したところ、5月5日にクラウドサービスのアカウントがロックされていることが発覚し、宅配業者を騙るスミッシングが判明したというもの。本件により、クラウドストレージに保存された個人情報が閲覧可能となった。

　当該教員は個人のスマートフォンを使用し業務の写真撮影を行い、保存や送信禁止の規定に反してクラウドストレージに個人情報を含む業務上のデータを保存していた。クラウドストレージは当該教員が個人用として契約していたもので、スマートフォンやタブレットと同期する設定であったため、個人的な写真とともに下記の情報が保存されていた。

・当該教員以外の個人情報が含まれた写真：73枚
当該教員以外の個人の名前、住所が記載されている書類の一部：1名分
当該教員以外の個人の名前が記載されている学級写真：12クラス分
当該教員以外の個人の名前が記載されている個人写真：70名分
担任のコメントが記載された当該教員以外の個人写真：105名分
保護者から担任への相談内容が記された連絡帳：2名分
当該教員以外の個人の名前が記載されている夏休み課題の応募用紙：12名分
個人の名前が特定される学級名簿：延べ357名分

・当該教員以外の個人の顔写真や学校生活の様子の写真：3,349枚

・その他の写真
本学情報システムの複数教員のIDとパスワードを撮影した写真

・前職中における当該教員以外の個人の情報が含まれた写真
当該教員が前職（教諭）中に撮影した個人情報が含まれる写真も多数含まれており、大阪市教育委員会と対応を検討している

　同学では対象の保護者に対し、5月15日付で経緯説明と謝罪の文書を配布した。

　当該教員は5月6日に、副校長を通じ大学へ通報、大阪教育大学情報インシデント対応チーム（CSIRT）において調査し、「本学情報システムの複数教員のIDとパスワードを撮影した写真」に含まれる、保存されていた複数教員のパスワードの変更を行うとともに、クラウドサービス事業者と警察に事態を連絡し対応の相談を行っている。

　同学では今後、教職員に対する情報セキュリティ教育の徹底を図り、再発防止に努めるとのこと。