県立学校における個人情報の漏えいについて

１　要旨
　　県立学校等の教職員及び生徒が使用するグループウェア内において、グループごとに保存しているファ
　イルの一部が、他の県立高校等の教職員及び生徒から閲覧できる状態になっていたことにより、四日市工
　業高等学校の個人情報が漏えいしました。

２　概要
　・１１月６日、県立学校の生徒から「他校のファイルが閲覧できる」との申し出がありました。
　・確認したところグループの一部で設定が誤っており、県教育委員会クラウドのアカウントであれば、
　　グループ外からもファイルを閲覧できる状態となっていることが判明しました。
　・全てのグループについて確認し、設定を適正化しました。
　・誤った設定をしていたグループのうち、個人情報が含まれていたのは、四日市工業高等学校のみでし
　　た。
　・個人情報が含まれる四日市工業高等学校のファイルへのアクセスログを確認したところ、次の情報に、
　　複数の生徒（６校１２名）からのアクセスがあったことが分かりました。
　　①　アカウントのID／パスワード
　　②　生徒のテスト成績（１科目）
　　③　体力測定結果
　　④　進路情報
　・該当生徒から、二次漏えい等（ファイルの保持・拡散・パスワードの不正利用）がないことを確認しま
　　した。
　・１１月２２日、グループを作成する際「パブリック」を選択できないようにシステムを改修しました。
　・１２月１６日、全校集会で生徒の個人情報が漏えいした事実の説明と謝罪をし、保護者に対しても謝罪
　　連絡を行いました。
　
３　原因
　・教職員が使用するグループウェアは、令和６年１月２０日に現行のものに移行しましたが、グループ
　　ウェアの構築時に、設定誤りによるリスクの検討が十分に想定できていませんでした。
　・該当校でグループを作成する際、本来「プライベート」と設定すべきところを誤って「パブリック」
　　としていました。

４　今後の対応
　・グループウェアにおける個人情報の取扱いについて、県個人情報適正管理指針を遵守するとともに、
　　指針に基づくグループウェアの運用について、新たに整理します。
　・臨時の県立学校長会を行い、各学校での適正な管理について周知徹底します。