佐賀県の教育情報システムが不正侵入され、延べ１万５千人分の個人情報が流出した事件は７日で発覚から１０日になる。「情報通信技術（ＩＣＴ）教育先進県」を標榜（ひょうぼう）する佐賀県の情報管理の甘さが浮き彫りになり、識者からは「原因の解明と運用方針の見直しが急務だ」との声が上がる。

　「どこまで広がっているか分からない」。佐賀県教育委員会は、成績や家庭環境調査など流出した情報がどこまで拡散したのかつかめておらず、不正アクセス禁止法違反の疑いで逮捕された無職少年（１７）と関わりがあった県内の高校生１５人から聞き取り調査を進める。県教委や学校には５日までに「うちの子の情報は大丈夫か」と心配する保護者らから１３３件の相談や問い合わせがあった。

　少年を逮捕した警視庁や県教委によると、少年は独自開発した攻撃用ソフトウエアを使って佐賀県独自の「教育情報システム（ＳＥＩ－Ｎｅｔ）」に接続。県立中学、高校などにある校内ネットワークにも無線ＬＡＮ経由で侵入していた。

　警視庁の調べに少年は「教育機関や教員に恨みがあった」「中学時代にいじめを受け不登校になった。その際の学校と教員の対応に不満があった」などと供述しているという。

　　　■　　　　■

　校内ネットワークへの不正侵入で、少年はほとんどの情報が閲覧できる管理者用のＩＤやパスワードを入手。これらは、教員や生徒が個人ＩＤで閲覧できるファイルに暗号化して保管されており「ある程度の専門知識があれば解読できる」（県教委）状態だった。

　県教委は、被害を食い止める機会も逃していた。

　昨年６月。何者かの不正アクセスで、校内ネットワークのアクセス権限が変更されたことが判明。県教委は、情報流出の痕跡がなかったことから管理委託業者にパスワードを変更させただけで警察への通報も、内部協議もしなかった。

　今年１月、別事件で押収された少年のパソコンから大量の個人情報を含むファイルが見つかる。県教委は２月、警視庁から情報流出の可能性とシステムの脆弱（ぜいじゃく）性を指摘されたが、生徒や教員のＩＤやパスワードを変更しただけで、５月には「少年にやり方を教えてもらった」と話す男子生徒（１６）の不正侵入を許す。

　県教委の担当者は「今考えると情報管理の認識が甘かった」と認める。

　　　■　　　　■

　「なぜそんな運用をしていたのか…」と驚くのは長崎県教委の担当者。同県も成績などのネットワーク管理を進めるが、アクセスは県教委と学校内のパソコンからしかできず、指静脈認証が必要という。

　福岡県は、あらかじめ登録された教職員のパソコンから専用回線を利用しないと接続できない仕組み。「そもそも全てが閲覧できるＩＤがあること自体が問題だ」と首をかしげる。

　情報セキュリティーの専門機関、独立行政法人情報処理推進機構の白石歩調査役は「ネットワークの情報管理対策は日々刻々と変わり、１００パーセント守れるものではない。不正アクセスされた場合でも重要情報は簡単に閲覧できないよう個別に『鍵を掛ける』工夫も必要だ」と指摘した。

＝2016/07/07付 西日本新聞朝刊＝