2023年度に学校・教育機関で発生した個人情報漏えい事故は218件で、書類とインターネットサービス・アプリを発端とする事故が全体の約69%にのぼることが2024年7月1日、教育ネットワーク情報セキュリティ推進委員会(ISEN)の調査結果から明らかとなった。
「学校・教育機関における個人情報漏えい事故の発生状況」調査報告書は、学校、公的教育機関、関連組織で発生した児童・生徒・保護者などの個人情報を含む情報の紛失・漏えい事故について、学校や自治体のWebサイト、報道発表資料、全国紙や地方紙のニュースサイトに公開されている情報をもとに調査したもの。ISENが毎年実施し、年度ごとに集計している。
2023年度は、218件の個人情報の漏えい事故が発生。個人情報漏えい人数は13万9,874人で、平均すると事故1件あたり約642人の個人情報が漏えいしていることがわかった。近年の漏えい事故の推移をみると、2020年が175件、2021年が198件、2022年が220件と約200件程度の事故が発生。漏えい人数は年度によって大きくばらつきがある。
2023年度の事故発生件数を月別にみると、学期末や成績処理の時期にあたる7月、11月、12月、ついで年度初めの4月に多く事故が発生した。1年間で平均すると、1か月あたり約18件の事故が発生したことになる。
種類別の事故発生比率は、書類やUSBメモリ、パソコンなどの「紛失・置き忘れ(48.6%)」がもっとも多く、ついで「誤公開(16.8%)」「誤送信(15.4%)」。漏えい経路・媒体は、「書類(47.7%)」「インターネットサービス・アプリ(20.8%)」による事故が約69%にのぼった。
一方、漏えい人数がもっとも多かった経路・媒体は「パソコン」で、約3万3,700人分(事故1件あたり約4,814人)の個人情報が漏えいした。続く、「システム・サーバー」は2万7,614人分(事故1件あたり約4,602人)、「電子メール」は2万2,063人分(事故1件あたり約1,700人)だった。
規定に反して持ち出した情報を紛失した場合などの「規定違反」をともなう事故は、全体の約8%で確認された。さらに、「紛失・置き忘れ」事故の約7%、「盗難」事故の約33%は、規定違反をともなって発生した。
「過失行為」や「やり間違い」など、意図しない行為(行為ミス)をともなう事故は、全体の約42%。事故の約10%は、第三者の悪意ある行為によって発生し、事故の約21%は、漏えいした情報の中に「成績情報」が含まれていた。
成績情報は非常にセンシティブな情報であり、被害は甚大なものとなる。JNSAの想定損害賠償額の算出式より算出した1人分の成績情報は3万3,000円。これを2023年度の成績情報漏えい数、約1万3,000人分の賠償額に換算すると約4.3億円にのぼる。
先生が取り扱う個人情報には、学校種ごとにも特徴があり、先生がもつ情報量の違いが、漏えい人数にも影響を与える。事故を未然に防ぐためには、個人情報を校外へ持ち出す際の適切な対策、ケアレスミスによる事故を減らすための仕組みや工夫、外部からの脅威への対策などが必要になるとしている。
