2023年に学校・教育機関関連組織で発生したセキュリティインシデント総数は147件で、最多は「紛失・盗難」であることが2024年4月22日、デジタルアーツが公開したセキュリティレポートにより明らかとなった。
セキュリティレポートは、デジタルアーツが2021年から2023年の国内セキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計したもの。
2023年の国内セキュリティインシデント総数は916件。最多は「不正アクセス」222件、ついで「誤操作、設定不備」206件、「紛失・盗難」165件で、2021年から比較すると、「マルウェア感染」以外のすべての分類項目で件数が増加し、セキュリティインシデントが発生し続けていることがわかった。
このうち、学校・教育機関関連組織で発生した2023年のインシデント総数は147件。「紛失・盗難」「不正アクセス」「誤操作、設定不備」「メール誤送信」の割合が多く、いずれの年も最多は「紛失・盗難」だった。中でも生徒の個人情報を含む児童個票、指導要録、修学旅行関連資料、健康診断書などの書類紛失がもっとも多く、年々増加していた。
書類内に記載されていた個人情報の人数の平均は1件あたり363人(人数が公開されているインシデントのみ集計)。特に指導要録の紛失は、1件平均2,195人で、記録されている人数および個人情報が多いこともあり、書類紛失の中でも影響が大きいといえる。
「不正アクセス」の総数は2022年の倍以上で、スパムメールの踏み台となったものが最多。Webサイトへの不正アクセスとサポート詐欺によるPC遠隔操作のインシデントも増加した。
「誤操作、設定不備」は人為ミスによるインシデントの割合が多い。具体的には、黒塗り(マスキング)の不備により個人情報が閲覧可能となっていた事例や、個人情報の誤掲載、個人情報を含む書類の誤送付によるものなどで、特に2023年下半期の件数が多かった。また、フォーム上での公開設定の不備によるものや、ファイルの閲覧権限不備による設定不備によるインシデントも増加傾向にあった。
「メール誤送信」は、送信先設定ミスによるインシデントの割合が多い。特に送信先を誤って宛先に設定して送信したことで、受信者間でメールアドレスが閲覧できる状態となっていた事例が多くを占めた。2023年のスペルミスの事例についてはGmailのスペルミスによるドッペルゲンガードメインへの誤転送や誤送信が多く見られた。
文部科学省は、「教育情報セキュリティポリシーに関するガイドライン」を2024年1月に改訂。ネットワーク統合を前提としたパブリッククラウド活用における適切なセキュリティ対策として、重要な校務系情報を取り扱う場合に、インターネットを通信経路とする前提で、内部・外部からの不正アクセスを防御するために、利用者認証(多要素認証)、端末認証、アクセス経路の監視・制御などを組み合わせた強固なアクセス制御や、教職員端末上で重要な情報を表示する際の児童生徒への誤表示や、児童生徒による不正閲覧が発生することのないよう適切な運用ルールを定めることなどの必要性を追記した。
インシデントを防ぐためにも、今後は、ガイドラインを踏まえた適切なセキュリティ対策を講じることが重要となる。
