2022年度に学校・教育機関で発生した個人情報漏えい事故は197件で、書類と電子メールを発端とする事故が全体の6割を超えることが、教育ネットワーク情報セキュリティ推進委員会(ISEN)が2023年6月9日に公表した調査結果から明らかとなった。
「学校・教育機関における個人情報漏えい事故の発生状況」調査報告書は、学校、公的教育機関、関連組織で発生した児童・生徒・保護者などの個人情報を含む情報の紛失・漏えい事故について、学校や自治体のWebサイト、報道発表資料、全国紙や地方紙のニュースサイトに公開されている情報をもとに調査したもの。ISENが毎年実施し、年度ごとに集計している。
2022年度は、197件の個人情報の漏えい事故が発生。個人情報漏えい人数は36万2,465人で、平均すると事故1件あたり約1,840人の個人情報が漏えいしていることがわかった。近年の漏えい事故の推移をみると、2019年が231件、2020年が175件、2021年が197件と約200件程度の事故が発生しており、漏えい人数は年度によってばらつきがみられた。
月別の事故発生件数をみると、2022年度は12月についで、7月に多く発生し、成績処理を行う学期末に増える傾向にあった。1年間で平均すると、1か月あたり約16件の事故が発生したことになる。
種類別の事故発生比率は、書類やUSBメモリ、パソコンなどの「紛失・置き忘れ(47.7%)」がもっとも多く、ついで「誤送信(15.7%)」「誤配布(11.7%)」「誤公開(11.2%)」。漏えい経路・媒体は、「書類(45.4%)」「電子メール(16.4%)」による事故が約62%にのぼった。
一方、漏えい人数がもっとも多かった経路・媒体は、「インターネットサービス・アプリ」で26万5,312人分(事故1件あたり約1万8,950人)の個人情報が漏えいした。次に多い「システム・サーバー」4万1,726人(事故1件あたり約6,954人)と比べると、「インターネットサービス・アプリ」からの情報漏えいが際立って多いことがわかる。
規定に反して持ち出した情報を紛失した場合などの「規定違反」をともなう事故は、全体の約8%で確認された。さらに、「紛失・置き忘れ」事故の約10%、「盗難」事故の約13%は、規定違反をともなって発生した。
「過失行為」や「やり間違い」など、意図しない行為(行為ミス)をともなう事故は、全体の約40%。事故の約12%は、第三者の悪意ある行為によって発生し、事故の約21%では、漏えいした情報の中に「成績情報」が含まれていた。今後、誤送信などのケアレスミスによる事故を減らすための仕組みや工夫、盗難やサイバー攻撃など、外部からの脅威への対策が必要である。また、成績情報は非常にセンシティブな情報であり、校務で取り扱う機会が多い教員は、細心の注意を払うことが求められるとしている。
