本学教員（教諭）がフィッシング詐欺（スミッシング）に遭い、個人が契約するクラウドサービスのアカウントが乗っ取られ、クラウドストレージに保存していた個人情報等が閲覧可能な状態にあることが判明いたしました。
　このような事態が発生し、関係者の皆様には多大なるご迷惑をおかけすることになりましたことを深くお詫び申し上げます。
　なお、現時点では、個人情報が悪用された事実は確認されておりません。

　当該教員への聞き取りによれば、令和3年5月3日（月）本学教員個人のスマートフォン宛に宅配業者を名乗るショートメール（SMS）が届き、自宅に荷物が宅配される予定であったため、要求されたクラウドサービスに影響を及ぼすIDとパスワード並びに2ファクター認証コードを5月4日に入力しました。
　5月5日、当該教員は、クラウドサービスのアカウントがロックされていることに気づき、宅配業者を騙る詐欺であることを認識し、5月6日朝に副校長を通じ大学へ通報しました。

　当該教員は個人のスマートフォンで業務の写真撮影を行い、保存や送信の禁止の規程に反してクラウドストレージに個人情報を含む業務上のデータを保存していました。クラウドストレージは、同教員が個人用として契約使用していたもので、スマートフォンやタブレットと同期する設定であったため、個人的な写真とともに、以下の情報が保存されていたことを確認しました。

●当該教員以外の個人情報が含まれた写真（73枚）
　「当該教員以外の個人の名前、住所が記載されている書類の一部　1名分」
　「当該教員以外の個人の名前が記載されている学級写真　12クラス分」
　「当該教員以外の個人の名前が記載されている個人写真　70名分」
　「担任のコメントが記載された当該教員以外の個人写真　105名分」
　「保護者から担任への相談内容が記された連絡帳　2名分」
　「当該教員以外の個人の名前が記載されている夏休み課題の応募用紙　12名分」
　「個人の名前が特定される学級名簿　延べ357名分」
●当該教員以外の個人の顔写真や学校生活の様子の写真（3,349枚）
●その他の写真
　本学情報システムの複数教員のIDとパスワードを撮影した写真
●前職中における当該教員以外の個人の情報が含まれた写真
　当該クラウドストレージには、前職（教諭）中に撮影された当該教員以外の個人情報が含まれる写真も多数含まれておりました。当件につきましては、大阪市教育委員会と対応を検討しております。

・大阪教育大学情報インシデント対応チーム（CSIRT）において調査し、上記「●その他の写真」に含まれる、保存されていた複数教員のパスワードの変更を行うとともに、クラウドサービス事業者及び警察に事態を連絡し対応の相談を行いました。
　また、関係機関にも報告をしました。
・保護者へは、5月15日付けで経緯の説明とお詫びの文書を配付しました。
・教職員に対して、今後このような事故のないように注意喚起を行いました。

　当該教員の個人情報の取り扱いに関する認識が不十分であり、安易にスマートフォンで個人情報を記録していたこと、並びに私的なクラウドサービスの利用が、個人情報を持ち出す恐れがあると認識していなかったことが原因です。

　本学では、今回の事態を重く受け止め、教職員に対する情報セキュリティ教育の徹底を図り、再発防止と個人情報等の適切な取扱いに努めてまいります。

【本件に関する問い合わせ先】
　大阪教育大学総務課広報室
　TEL 072-978-3211