学校法人東海大学は2月18日、2025年11月14日に公表した業務委託先サーバへの不正アクセスについて、第2報を発表した。
同法人がネットワークシステムの保守・管理などを委託している株式会社東海ソフト開発が管理・運用するサーバに外部から不正アクセスがあり、ランサムウェアによる被害を確認したため、同法人と東海ソフト開発が連携し、被害状況の全容把握と情報流出の可能性について調査を進めていた。
攻撃者が委託先のネットワークにアクセスするための認証情報を不正に入手してシステム内に侵入し、サーバへのランサムウェア攻撃を行ったという。
委託先における調査結果を踏まえ、同法人で精査を行った結果、本件により同法人の取り扱う個人情報の漏えいが判明している。本来、委託業務では、同法人構内での現地作業及び同法人環境に接続して行う作業ルールがあったが、委託先社内にデータを持ち帰るなどの運用ルールと異なる対応があり、個人情報が委託先に存在しており、また同法人でも、委託先への個人情報の安全管理が徹底されておらず、これらの経緯で漏えいの対象者数は最大で延べ193,118人であることを確認している。その内訳は下記の通り。
・東海大学学生(2020年度から2025年度 卒業、退学、除籍、入学辞退者を含む):76,314人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・東海大学学生の保護者(2020年度から2025年度 卒業、退学、除籍、入学辞退者を含む):45,810人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・東海大学入学予定者(2024年度入学):5,482人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・役員・教職員(退職者を含む):49,816人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・その他(取引先関係者等で本法人の業務システム利用権限を有する方):3,004人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・九州東海大学卒業生:594人
項目:氏名、生年月日、学籍番号、在籍学部学科研究科名、卒業年度、証明書発行年月日
・付属高等学校・中等部生徒(2023年度から2025年度入学):5,283人
項目:氏名、生徒番号、学園(学校)のシステムを利用するためのID・パスワード、及び一部の生徒については、性別、生年月日、年・組・出席番号、皆勤状況
・付属高等学校・中等部生徒卒業生(退学等を含む):6,597人
項目:氏名、生徒番号、学園(学校)のシステムを利用するためのID・パスワード、及び一部の生徒については、性別、生年月日、年・組・出席番号、学園試験結果の一部(付属相模高等学校 2000 年度入学)、所見(付属相模高等学校 2001 年度入学)
・付属八王子病院健診受診者:186人
項目:氏名、性別、年齢、生年月日、住所、患者番号、健診情報
・個人取引先等:32人
項目:氏名、金融機関口座情報、学籍番号
同法人では2月17日から、各対象者に郵送等の方法で順次通知を開始している。
同法人では今後、下記の再発防止策を徹底するとのこと。
1.学校法人内における個人情報管理の徹底
・情報セキュリティ体制を見直し、責任者や組織的な情報管理の詳細なルールを定め、明文化。
・教職員を対象とした情報セキュリティ及び個人情報保護に関する研修・訓練を強化。
・同法人内ネットワークへのアクセス管理の強化を順次実施し、今後も継続してシステム面の改善に取り組む。
2.業務委託先における個人情報管理の徹底
・業務委託契約書を見直し、業務委託先における個人情報の安全管理措置等をより明確化すること
を要請。
・委託先に対し定期的な自己点検・報告の実施を求め、関係法令及び公的ガイドラインに則した安全管理措置の実施状況を監査し。
・委託先のネットワークへのアクセス管理の強化等、システム面での見直しを要請。
同法人がネットワークシステムの保守・管理などを委託している株式会社東海ソフト開発が管理・運用するサーバに外部から不正アクセスがあり、ランサムウェアによる被害を確認したため、同法人と東海ソフト開発が連携し、被害状況の全容把握と情報流出の可能性について調査を進めていた。
攻撃者が委託先のネットワークにアクセスするための認証情報を不正に入手してシステム内に侵入し、サーバへのランサムウェア攻撃を行ったという。
委託先における調査結果を踏まえ、同法人で精査を行った結果、本件により同法人の取り扱う個人情報の漏えいが判明している。本来、委託業務では、同法人構内での現地作業及び同法人環境に接続して行う作業ルールがあったが、委託先社内にデータを持ち帰るなどの運用ルールと異なる対応があり、個人情報が委託先に存在しており、また同法人でも、委託先への個人情報の安全管理が徹底されておらず、これらの経緯で漏えいの対象者数は最大で延べ193,118人であることを確認している。その内訳は下記の通り。
・東海大学学生(2020年度から2025年度 卒業、退学、除籍、入学辞退者を含む):76,314人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・東海大学学生の保護者(2020年度から2025年度 卒業、退学、除籍、入学辞退者を含む):45,810人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・東海大学入学予定者(2024年度入学):5,482人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・役員・教職員(退職者を含む):49,816人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・その他(取引先関係者等で本法人の業務システム利用権限を有する方):3,004人
項目:氏名、性別、生年月日、住所、電話番号、学籍番号・教職員番号、利用者区分、学園(学校)のシステムを利用するための ID・パスワード、メールアドレス、在籍学部学科研究科名、所属、役職
・九州東海大学卒業生:594人
項目:氏名、生年月日、学籍番号、在籍学部学科研究科名、卒業年度、証明書発行年月日
・付属高等学校・中等部生徒(2023年度から2025年度入学):5,283人
項目:氏名、生徒番号、学園(学校)のシステムを利用するためのID・パスワード、及び一部の生徒については、性別、生年月日、年・組・出席番号、皆勤状況
・付属高等学校・中等部生徒卒業生(退学等を含む):6,597人
項目:氏名、生徒番号、学園(学校)のシステムを利用するためのID・パスワード、及び一部の生徒については、性別、生年月日、年・組・出席番号、学園試験結果の一部(付属相模高等学校 2000 年度入学)、所見(付属相模高等学校 2001 年度入学)
・付属八王子病院健診受診者:186人
項目:氏名、性別、年齢、生年月日、住所、患者番号、健診情報
・個人取引先等:32人
項目:氏名、金融機関口座情報、学籍番号
同法人では2月17日から、各対象者に郵送等の方法で順次通知を開始している。
同法人では今後、下記の再発防止策を徹底するとのこと。
1.学校法人内における個人情報管理の徹底
・情報セキュリティ体制を見直し、責任者や組織的な情報管理の詳細なルールを定め、明文化。
・教職員を対象とした情報セキュリティ及び個人情報保護に関する研修・訓練を強化。
・同法人内ネットワークへのアクセス管理の強化を順次実施し、今後も継続してシステム面の改善に取り組む。
2.業務委託先における個人情報管理の徹底
・業務委託契約書を見直し、業務委託先における個人情報の安全管理措置等をより明確化すること
を要請。
・委託先に対し定期的な自己点検・報告の実施を求め、関係法令及び公的ガイドラインに則した安全管理措置の実施状況を監査し。
・委託先のネットワークへのアクセス管理の強化等、システム面での見直しを要請。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)