国立研究開発法人水産研究・教育機構水産大学校は11月12日、9月11日に公表した学生向け電子掲示情報が外部から閲覧可能であったことについて、調査結果を発表した。
同校では学生向け情報電子掲示システム内の情報がログイン認証なしで外部から閲覧可能状態であったことが、業務でウェブを検索していた同校職員の報告で9月5日に判明していた。
調査結果によると、閲覧可能状態であったのは2011(平成23年)年4月以降で、閲覧可能であった情報は下記の通り。
・平成23年度以降に在籍歴のある学生の個人データ:4,122件
・平成23年度以降に在籍歴のある教職員の個人データ:314件
・平成23年度以降に採用された非常勤講師の個人データ:56件
・閲覧可能状態にあった個人データの種類:学籍番号、氏名(姓のみ、カナ又はローマ字表記のみを含む)、電話番号、メールアドレス、SNSアカウント
同校では対象者にメールにて報告を行っている。
同校によると、同システムは2011年4月に全面更新を行い、その際に当時のシステム関連機器の性能や利用者の利便性を考慮し、お知らせ情報(htmlファイル)や添付ファイルを素早く閲覧できるよう、ファイルのURLを直接入力することでログイン認証なしでもアクセスできる設計としていた。
同校では、閲覧しようとするファイルの数十桁に及ぶ完全なURLを正確に入力して適合させる必要があることから、外部からの閲覧は困難と判断し、全面更新以降、アクセスに係る部分の設計変更は行っていなかったが、今般、一部の検索エンジンによってお知らせ情報の添付ファイルがクローリングされ、検索結果に当該ファイル名が表示される事態が発生したとのこと。
同校で通信履歴を調査した結果、お知らせ情報の本文に該当するhtmlファイルが外部から閲覧された形跡は確認されていない。
同校では事象判明後に、システムへのアクセス制限を講じ、システム内の情報は外部から閲覧できない状態にしている。
同校では今回の事案を踏まえ、システムの定期的な評価・検証を行う体制を強化するとともに、個人情報の取扱いを含めた情報セキュリティの確保を徹底し、再発防止に努めるとのこと。
