受験者の合否情報流出
同じ業界なのでいつかは出ると思ってたが、やはり出た。
大学の扱う情報の中でも最高度の機密情報に属する入試の合否情報である。
氏名と合否結果だけではなく、住所、点数、順位まで流出したらしい。
短大受験者の合否情報、ウィニーで流出 札幌 - asahi.com
情報流出:北海道武蔵女子短大、合否情報が流出 ウィニーで1000人分 - mainichi-msn.co.jp
今回の事例は大学関係者が直接漏洩させたものではなく、大学と取引のあるSIerが
漏洩させたものなので、大学に対する直接的な法的責任は問われないかもしれない。
(起こってはならないことだが)万一、流出情報の当事者に何らかの被害があり、
大学に損害賠償請求がなされた場合、その損害賠償の大部分を実際に情報を
漏洩させたSIerに請求することができる可能性がある。
このため財務的負担に関しても全面的な賠償責任を負う可能性は少ないと思われる。
# 長期的には大学の信用度低下による入学者減などの影響が考えられる。
しかし、担当職員は本来ならば生データを渡す必要がなかったにも関わらず、
安易に生データを渡してしまったこと、また、今回のデータが外部のSIerに
渡されている事実を大学(の関連部局)が把握していなかった(できなかった)
ことは問題と言える。
理想的には、あるデータをシステム外に持ち出す場合、適切な権限がなければ
データを拠出不可能とするシステム的制約を実装すべきであり、また、
いつ誰がどのようなデータをシステム外に拠出したのかログを取り、
万一の事態に備えて追跡性を確保しておくことが必要である。
でもね、最大のセキュリティホールは「人間」。
一度拠出されたデータはシステムの統制から離れ、そのデータを扱う人の
判断のみに従って流通する。
如何に機密情報を守るかは、情報を扱う人のモラルや見識に依存する。
これは大学構成員だけではなく、大学と取引するSIerも含まれる。
大学構成員が「情報」の取り扱いに対して十分な見識を持ち、細心の注意を
払うことはもちろんのこと、取引する業者に対しても適切な情報取扱規程の
遵守を誓約、実行させることが必要だろう。
すべての情報流出事例に言えることだが、我々は特に今回の事例を
「他山の石」とせねばならない。
大学の扱う情報の中でも最高度の機密情報に属する入試の合否情報である。
氏名と合否結果だけではなく、住所、点数、順位まで流出したらしい。
短大受験者の合否情報、ウィニーで流出 札幌 - asahi.com
情報流出:北海道武蔵女子短大、合否情報が流出 ウィニーで1000人分 - mainichi-msn.co.jp
今回の事例は大学関係者が直接漏洩させたものではなく、大学と取引のあるSIerが
漏洩させたものなので、大学に対する直接的な法的責任は問われないかもしれない。
(起こってはならないことだが)万一、流出情報の当事者に何らかの被害があり、
大学に損害賠償請求がなされた場合、その損害賠償の大部分を実際に情報を
漏洩させたSIerに請求することができる可能性がある。
このため財務的負担に関しても全面的な賠償責任を負う可能性は少ないと思われる。
# 長期的には大学の信用度低下による入学者減などの影響が考えられる。
しかし、担当職員は本来ならば生データを渡す必要がなかったにも関わらず、
安易に生データを渡してしまったこと、また、今回のデータが外部のSIerに
渡されている事実を大学(の関連部局)が把握していなかった(できなかった)
ことは問題と言える。
理想的には、あるデータをシステム外に持ち出す場合、適切な権限がなければ
データを拠出不可能とするシステム的制約を実装すべきであり、また、
いつ誰がどのようなデータをシステム外に拠出したのかログを取り、
万一の事態に備えて追跡性を確保しておくことが必要である。
でもね、最大のセキュリティホールは「人間」。
一度拠出されたデータはシステムの統制から離れ、そのデータを扱う人の
判断のみに従って流通する。
如何に機密情報を守るかは、情報を扱う人のモラルや見識に依存する。
これは大学構成員だけではなく、大学と取引するSIerも含まれる。
大学構成員が「情報」の取り扱いに対して十分な見識を持ち、細心の注意を
払うことはもちろんのこと、取引する業者に対しても適切な情報取扱規程の
遵守を誓約、実行させることが必要だろう。
すべての情報流出事例に言えることだが、我々は特に今回の事例を
「他山の石」とせねばならない。
