消費者と事業者の信頼の中心に
2025年7月28日
6月25日、個人情報保護委員会は「学校における個人情報の漏えい等事案を踏まえた個人情報の取扱いに関する留意点について(注意喚起)」を公表しました。
本資料は、学校における個人情報の漏えい等事案について、約2年度分の漏えい等報告に基づき、取りまとめられたものです。
学校向けの資料ではありますが、漏えい等事案の類型ごとに、事案例、発生原因、再発防止策例がまとめられており、学校にとどまらず、様々な事業者にとって参考になる点があると思われます。今回のブログでは、本注意喚起の内容を紹介・引用します(赤字部はJPACによるものです)。
注意喚起の2ページ目には、「特に留意していただきたい事項」として、以下の3点があげられています。赤字部については学校以外においても重要な事項かと思われます。
・研修等による教職員の意識向上も大切だが、人間の留意力には限界があるため、組織的側面や技術的な側面から再発防止策を検討すること。
・学校でもICTの活用が進み、情報共有ツール等の利用における漏えい等事案が多くみられるが、こうした事案では一度に多くの個人情報が漏えいしてしまう点を踏まえ、対策を検討すること。
・(公立学校の場合)教育委員会を含む行政機関等の保有する個人情報の取扱いについては、個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)「4-8(別添)行政機関等の保有する個人情報の適切な管理のための措置に関する指針」に記載されているとおり、「個人情報の適切な管理に関する定めの整備」「管理体制の整備」「教育研修」は、行政機関等に求められる基本的な事項になるため、これらの事項が不十分である場合には、速やかに対応すること。
学校における漏えい等事案が多く発生する主な理由として、以下の4点が挙げられています。
■ 1. 取り扱う個人情報が多いこと
・健康情報、成績・進路情報、家庭環境に関する情報等も含め生徒に関して多くの情報を取り扱っている
■ 2. 業務スペースが広いこと
・職員室、教室、体育館、講堂等、様々な場所に移動するため個人情報が記録された媒体を置く場所が固定されにくい
・外部と内部の区別がつきにくい
■ 3. データの共有範囲の問題
・生徒も各自で端末を持ちアプリ等を使って情報を共有するがデータを誤って共有してしまうことが生じやすい
■ 4. 紙媒体の取扱いが多いこと
・紙媒体の紛失や誤交付、印刷ミス等による事故が生じやすい
令和5年4月から令和7年4月までにおいて、小学校、中学校、高等学校及び特別支援学校の現場において発生した漏えい等事案について、個人情報保護委員会が、教育委員会や私立学校等から受領した漏えい等報告(約450件)を基に、発生原因別の割合等を分析しています。
※教育委員会の事務において生じた事案や委託先等の民間事業者において発生した不正アクセス事案の影響を受けた漏えい等事案は除外)
こちらのグラフは発生原因別の割合です。紛失や誤送付・誤送信・誤配信による漏えい等事案が多くなっていますが、情報共有ツール等デジタルツールの使用に伴う操作ミスも一定の割合で生じています。
以下のグラフは本人数別の発生割合です。誤交付事案等、本人数が10人未満のものも多いですが、情報共有ツールの誤設定による事案や紛失事案等で本人数が100 人以上になっている事案も多くなっています。
本注意喚起においては、10の漏えい等事案のタイプ別に分析がされており、各事案類型ごとに事案例、発生原因、再発防止例があげられています。自組織における漏えい等のリスクを考える上で参考になるところが多いかと思います。各分類ごとに、注意喚起の本文を引用いたします。
なお、注意喚起の本文には、各事案類型ごとに問題となりうる法令の規定※も記載されていますので、学校設置者や教職員の方は、ぜひ注意喚起の本文をご確認ください。
※公立学校向けには、「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」の規定、私立学校向けには、「個人情報の保護に関する法律についてのガイドライン(通則編)」の規定。
学校では、生徒の学習用や保護者にお便りなどを配布する必要性等から、特に紙媒体の利用が多く、また、現在はデジタル化されている資料も過去分は紙で保存されています。そのため、紙媒体の紛失は、漏えい等事案の件数としては多くなっています。また、修学旅行や校外学習等、業務上、校外に持ち出す必要性がある場合、業務が多忙のため自宅に持ち帰って作業するために校外に持ち出す場合などもあり、校外での紛失事案も見受けられます。
・職員室内保管庫に保管してあったはずの生徒数百名の緊急連絡カードが所在不明となった。
・学年末試験の成績一覧表が校外で拾われた。
・休日に自宅で業務を行うためテスト答案を校外に持ち出し、飲食した後、帰宅途上でカバンごと紛失した。
・数年分の指導要録が所在不明となった(新校舎への引っ越しの際に誤廃棄した可能性が高い。)。
・修学旅行中に、教員用しおりや、生徒のアレルギー情報等が記載された名簿を紛失した。
・校外に持ち出し中の管理不備。
・職員室内の管理不備。
・新校舎への引っ越しに伴う紛失の可能性。
・個人情報が記載された書類を保管するキャビネットの鍵の管理の一元化。
・家庭状況調査ファイルの使用記録簿を作成し、管理職は退勤前に記録簿を確認。
・校外に個人情報を持ち出す際のルールの確認・徹底。
・事案を共有し、校内研修を実施。
・修学旅行しおり等、校外に持ち出すことが前提となっている資料に掲載する情報の見直し。
電子媒体を紛失することにより、大量の個人情報について一度に漏えい又は漏えいのおそれが発生することがあります。また、電子媒体の紛失事案については、そもそもその電子媒体の使用や校外持ち出しについて、セキュリティポリシー等の規程に違反していることが多く見受けられます。
・生徒の個人情報が保存されたUSBメモリを教諭の机で保管していたが、数日間出勤しなかった間に紛失した。
・生徒の成績データ等が入った私物USBメモリを校長の許可なく校外に持ち出し、カバンに入れたまま飲食し、紛失した。
・生徒の傷病情報等が保存された私物PCを職員室前の生徒配布用メールボックス上に置き忘れたところ、当該PCが無くなった。
・児童の教育支援計画の一部を写した画像を保存したデジタルカメラを入れたカバンが、自転車ごと盗難に遭った。
・情報セキュリティポリシー等に従わない私物USBメモリの使用。
・情報セキュリティポリシー等に従わず、許可なく校外にUSBメモリを持ち出し。
・電子媒体そのものや、電子媒体を入れたカバン等の管理の問題。
・情報セキュリティポリシー等の規程の再周知。校内研修の実施。
・業務の見直し等により校外に個人情報を持ち出す機会の削減を図る。
・USBメモリの保管・管理は、校長及び教頭が厳重に行い、貸出及び返却の際は書面による管理者の承認・確認手続を行う。
・USBメモリを原則使用禁止とする。
・個人情報を含む資料を保存したUSBメモリについてはパスワード設定を徹底。
個人情報が記載された書類の誤交付は、学校現場だけで生じやすい事象というわけではありません。ただし、学校では、生徒の健康に関する個人情報等の要配慮個人情報を扱うため、本人数の少ない漏えい事案についても漏えい等報告の対象事態であることが多くなっています。また、学校では紙媒体の取扱いが多いために誤交付が生じやすい環境であるともいえます。
・生徒Aの保健調査票や尿検査の結果通知書を生徒Bに誤交付した。
・児童調査票等が入った連絡袋を取り違え、生徒Aに渡すべきものを生徒Bに、生徒Bに渡すべきものを生徒Aに渡すことにより、個人情報が漏えいした。
・教員が業務で使用する資料(個人情報を含む。)をまとめたファイルを児童の机上に置いていたところ、誤って当該児童が自宅に持ち帰った。
・検尿結果を配布する際に、封筒の中身をよく確認しなかった。
・提出物ファイルが個々の家庭とやり取りするための連絡帳ファイルと同色の紙ファイルであり、両者を混在してしまった。
・クラス担任が不在のため、クラス副担任が同じ名字2名の生徒の中身を十分に確認せず封入して交付した。
・資料等の保存・整理が不十分の状態で複数の案件や業務・学習指導を同時進行的に進めていたため、書類が混在してしまい、生徒等に交付すべきではない書類を誤って交付するに至った。
・個人情報を含む書類を封入する際には、確認を徹底する。
・机上の整理整頓、文書等の管理を徹底させる。
・封筒の宛先と文書の宛名が突合しやすいよう外折りにする。
・個人情報を含んだ文書を教室に安易に持ち込まない。
・個人情報を含む書類の保管は、施錠可能な職員室の保管棚に入れる。
メールの誤送信については、学校現場以外でも見受けられる事象です。ただし、学校現場では、近時、生徒や保護者等ともメール配信システムや端末への配信等を行うことが増えていることから、生徒端末への誤配信や欠席連絡アプリ上での送信ミスなどの特有の事象も生じています。
・一斉メール配信システム使用時に誤って個人情報が含まれたファイルを添付した。
・メールの宛先入力の際、誤って教職員と同姓の生徒のアドレスを入力した。
・BCCで送信するべきところをToやCCで送信した。
・本来持ち出しが禁止されている成績データを、自身の個人アドレスに送付したつもりがメールアドレスを誤って送信した。
・生徒指導に関する情報を、誤って生徒が使用する一人一台端末に配信した。
・欠席連絡アプリ上で、本来1人に送信する情報を多数に誤送信した。
・メール送信時や一斉メール配信システム使用時等における、添付ファイルや宛先の確認不足。
・メール送信に関するルールの策定。
・一斉メールを送信する際の確認の徹底。
・職員に対する事案の共有、研修や注意喚起を定期的に実施。
・考査や成績処理について余裕を持って業務を行えるよう、日程や方法の見直しを図る。
近年、学校でもデジタルツールを使用する必要のある業務が増加しています。また、学校においては、情報の共有範囲は職員間だけにとどまらず、生徒や保護者に共有すべきケースも多いことから、情報共有ツールにおける誤投稿やアクセス制限のミス、個人情報が含まれるファイルの保存場所のミス等により、個人情報が漏えいするケースが少なくありません。これらの事象の背景としては、デジタルツールの仕様や設定に関する理解が不十分なまま使用されていることがあります。
・オンラインフォームを使用したアンケートを実施した際に設定を誤った(結果の概要を表示する機能を誤って有効にしたため、回答者同士で回答が閲覧できる状態となった。教員用の共同編集権限を生徒にも付与した等)。
・オンラインフォームを使用して試験の自己採点結果を生徒に入力してもらう際に、教員用URLを誤って掲載したため、生徒が他の生徒の結果を閲覧できる状態となった。
・オンライン学習管理システムを利用し答案・成績を生徒に返却しようとしたところ、クラスを間違えて送信した。
・コラボレーションツールを利用していたところ、チャットの投稿場所を間違え、生徒を含む学年全体に情報を送信した。
・担当教諭間で情報共有をするはずが、誤って、個人情報が記録されたファイルを教員及び生徒の共有フォルダに保存してしまった。
・プライベート設定にすべきところを誤って公開設定にした等の設定ミス。
・保存先の共有範囲の理解不足。
・対象のファイルやアップロード先の確認不足。
・デジタルツールの仕様や設定に関する理解不足。
・オンラインフォーム等のツール利用時の校内マニュアルを作成し、教職員に研修を実施。
・教育委員会から全学校に対して、個人情報の取扱いやICT 活用の留意事項について指導の徹底を図る。
・学習用クラウドサービスの操作について、教育委員会と学校それぞれの権限を再整理。
・コラボレーションツールの公開範囲の設定を定期的に点検。
・オンライン学習管理システムに掲載する文書を限定。
サポート詐欺は、インターネット使用時に注意するべきものです。学校現場だけの問題ではありませんが、サポート詐欺に遭って遠隔操作ソフトをインストールしてしまい、PC端末に保存された生徒の個人情報に漏えいのおそれが生じたという漏えい等事案も少なくありません。
・公用PC(又は私用PC)でインターネットにつなぎ検索等をしていたところ、トロイの木馬への感染を示す警告画面と連絡先が表示された。連絡先へ電話し、指示に従ってPCを操作。遠隔操作ソフトをインストールし、遠隔操作が行われた。
・サポート詐欺とは知らずに、攻撃者の指示に従い、PC端末に遠隔操作ソフトをインストールした。
・インターネット閲覧用と業務用で、PC端末を分ける。
・職員への注意喚起・事案共有。
・資産管理ソフトの導入(遠隔操作ソフトダウンロードURLをアクセス禁止リストに入れる等)。
・一般ユーザーはソフトウェアをインストールできないようにする措置を導入。
学校現場では、教職員が、職員室、教室、体育館等、多くの場所に移動して執務を行うため、紙媒体の置き忘れが生じやすい環境です。置き忘れが生じた場合、生徒に閲覧させることが予定されていない情報を閲覧されてしまう可能性があり、個人情報の漏えい等事態が生じやすくなります。
・学年集会が行われた場所に生徒の家庭環境等を含む個人情報が記載された紙媒体を置き忘れたところ、生徒がスマホで撮影した。
・教室の教卓上に生徒の個人情報が記載された資料を置き忘れたところ、生徒が閲覧した。
・面談を教室で実施した際、生徒用の机の中に家庭環境調査簿を置き忘れたところ、生徒が閲覧した。
・紙媒体の置き場所に関する管理不備。
・家庭環境調査簿は職員室外に持ち出さない。
・職員打合せ等で、個人情報が含まれている書類の取扱いについて再度確認する。
・生徒情報が記載された文書を執務室外に持ち出す際には、封筒等に格納して厳封する。
誤廃棄は学校現場に限らず生じる事象ですが、学校では、健康診断票、学習用教材、指導要録の誤廃棄等の事案があります。
・廃棄書類をシュレッダー廃棄した際、生徒の健康診断票も誤って廃棄してしまった。
・過去の指導要録が所在不明であるが、おそらく誤廃棄した可能性が高い。
・紙媒体の管理不備。
・所定の場所への保管を徹底する。
・研修において、全職員に事案や個人情報の適切な取扱いについて周知する。
・書類使用後は速やかに保管場所に返却することを徹底する。
サイバー攻撃等の外部の第三者による不正アクセスによる漏えい等事案は、民間の個人情報取扱事業者においても頻繁に起きているものです。学校現場では、アカウントの乗っ取り事案が多く見受けられるため、多要素認証等により防御を行う対策が考えられます。
・クラウドストレージサービスを利用していたところ、職員のアカウントが、第三者に不正に利用され、ファイルの閲覧、操作、ダウンロード等が行われた。
・クラウド型学習支援システムの管理用アカウントが攻撃者に不正に利用され、個人情報が漏えいした。
・ID及びパスワードの管理に問題があった。
・初期パスワードからの変更がなされていなかった。
・多要素認証の導入。
・特に配慮を要すべき個人情報の保管場所と運用方法を再確認。
・重要な個人情報の保管場所について監査を実施。
・より高度なセキュリティレベルで運用可能なシステムへの移行。
・セキュリティ設定を再チェックする。
・セキュリティ意識向上のための研修の実施。
学校関係者ではない第三者による不正アクセス事案以外に、生徒や教職員による不正アクセスや不正な持ち出しによる漏えい等事案も少なからず発生しています。教職員だけでなく生徒に対する情報モラル教育も軽視できない状況が見受けられます。
・教員が所持していた生徒用アカウント一覧表を生徒が不正に入手し、他の生徒のアカウントに不正アクセスした。
・教員が校務用PCの管理を生徒に任せ、PCのパスワードを教えていたところ、生徒が教員だけしか見てはいけない資料を閲覧した。
・生徒が、教員のID・パスワードを不正に利用し、個人情報にアクセスした。
・授業資料をプロジェクターに投影させた際、教員専用のデータ保存領域のアクセスコードがプロジェクターに表示されたため、これを生徒に閲覧・利用された。
・校務員が、生徒の個人情報が記載されている教員用の資料を無断でコピーし、生徒に閲覧させた。
・教員が退職時に生徒のデータを不正に持ち出した。
・個人情報が記載されている紙媒体の管理の不備。
・ID 及びパスワードの管理の不備。
・生徒や教職員の情報モラルの問題。
・授業関係資料と生徒の個人情報の保存領域の分離と運用の徹底。
・ログインID・パスワードの厳正な取扱いの徹底。
・アカウント管理体制の見直しとルールの明文化。
・パスワード等のデータの印刷やコピーの禁止。
・教員に対する情報リテラシー教育等の実施。
・生徒に対する情報モラル教育の推進。
「学校における個人情報の漏えい等事案を踏まえた個人情報の取扱いに関する留意点について(注意喚起)」のご説明は以上となります。
最後にご紹介になりますが、当機構が認証付与している個人情報保護第三者認証マークTRUSTe(トラストイー)は、審査の過程でセキュリティ対策についても確認しており、専門家からのチェックを受けることが可能です。ぜひお気軽にお問合せください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。