卒業アルバムの情報漏洩が立て続けに発覚　印刷業者が見直すべきセキュリティ対策とは

卒業アルバム関連の情報漏洩が続けて報じられた背景
立て続けに発覚した2件の漏洩事件
- 株式会社イシクラ
- 斎藤コロタイプ印刷株式会社
印刷業者が抱える“想定以上”のリスク
印刷業者に求められる3つの現実的な対応策
データを預かる全ての事業者に生じる責任
暗号化で「漏れても読まれない」ファイル管理を
カタログ・資料ダウンロードはこちら
参考

卒業アルバム関連の情報漏洩が続けて報じられた背景

2025年3月と4月、印刷業者による卒業アルバム関連データの漏洩に関するニュースが立て続けに報じられました。特に顔写真・氏名・学校名といった個人情報が漏洩したおそれがあると公表されたことで、社会的な注目を集めています。

卒業アルバムの制作過程で取り扱われる情報は極めて重大であり、漏洩が発生した場合、生徒やそのご家族に与える不安と影響は計り知れません。大切なデータを預かる立場として、こうした漏洩は決して許されることではありません。しかし、被害企業のセキュリティの甘さを指摘するのは容易な一方、現在のサイバー攻撃は非常に高度化・巧妙化しており、完全に漏洩を防ぐのは極めて困難であるということも事実です。

本コラムでは、発生した事件の概要から、印刷業者をはじめ、機微な情報を預かる委託業者がどのようにデータを守っていくべきかを整理しています。

立て続けに発覚した2件の漏洩事件

株式会社イシクラ：ウェブシステムへのランサム攻撃により7万2,513件の個人情報が漏洩した可能性 ^{※1 ※2 ※3}

80年以上にわたり卒業アルバムの作成に携わる、株式会社イシクラ（以下、イシクラ）は、2024年5月に同社が提供するレイアウトシステム「WebLAYLA」への不正アクセス被害により、一時的なサービスの停止と一部画像データへの毀損が発生したことを公表しました。

その後、2025年3月にあらためて事件の詳細を公表。漏えい等のおそれのある情報は、事件発覚までにWebLAYLA上にアップロードされていた画像データ（スナップ、個人写真）、氏名で、計7万2513件に及ぶとのことです。（2025年4月22日時点）

ただし、通信ログの調査を行ったところ、データの抜き取りは確認されず、システム上で閲覧された可能性のあるデータが上記に該当するとしています。また、現状ダークウェブへのデータ公開なども確認されていません。

事故原因について、WebLAYLAはイシクラではなく委託先のシステム会社でサーバ保守・管理をしており、そのシステム会社がさらに委託した修理業者が外部機器を交換した際、設定ミスによる脆弱性が生じ、不正アクセスの被害を受けたとしています。また、イシクラの内部ルールが守られておらず、WebLAYLA上に保管期限を過ぎたデータが削除されずに残っていたことも被害を大きくした可能性があります。

再発防止策として、委託先のシステム会社は機器の入れ替えや新たなセキュリティシステムの導入を、またイシクラ側は委託先への監督強化だけでなく、自社内のルールの徹底を打ち出しています。

斎藤コロタイプ印刷株式会社：工場へのランサム攻撃により約17万3,000件の個人情報が漏洩した可能性 ^{※4 ※5}

100年以上の歴史のある仙台市の印刷会社、斎藤コロタイプ印刷株式会社（以下、斎藤コロタイプ印刷）は、2025年4月に同社工場システムへの不正アクセス被害に関するお知らせを公表しました。

被害に遭ったのは同社が作成した2023年度卒業・卒園アルバムへの掲載データで、その約2.5%相当のデータに対しランサムウェアによる不正な暗号化が行われました。また、漏えい等のおそれのある個人情報は、前述のデータの内、テキスト（個人名・委員会倶楽部など）のデータ、個別の写真（顔写真・スナップ）及び公明を含む紙面構成データで、一部報道によると、件数は最大約17万3,000件に及び、同社にアルバム制作を委託した全国約30都道府県、幼稚園や小中学校、高校など約2千か所分が被害を受けた可能性があります。

ただし、イシクラ同様、ダウンロードによるデータ抜き取りの事実は現状確認されておらず、サーバ上の個人情報を一時的に第三者に閲覧された可能性があるとのことでした。情報を利用した二次被害なども確認されていません。また、バックアップがあるためデータの滅失もないとのことです。

同社は上記のデータを工場内の専用サーバで保管していました。工場はインターネット接続による業務を主とした「業務系ネットワーク」とアルバム制作業務を行う「制作系ネットワーク」に分かれており、各端末は共通のログイン認証用サーバ（Active Directoryサーバ）を経由してこれらに接続していました。

事故原因は、VPN機器を利用した外部からの不正アクセスが挙げられます。接続パスワードの漏洩や、機器の脆弱性を突かれた可能性が考えられますが、いずれにせよ「業務系ネットワーク」へ不正侵入され、さらに共用しているログオン認証サーバ内のユーザー情報から「制作系ネットワーク」への侵入も許してしまったと見られています。

同社は再発防止策として、パスワードポリシーの厳格化および変更、原因となった業務系ネットワークに対するVPN接続設定の廃止などを挙げています。

▶ 類似点
① 機器の脆弱性や設定ミスといった技術的な要因から外部侵入を許しており、従業員のセキュリティ意識（例：「フィッシングメールを開かない」等）だけでは防ぎきれない攻撃だった。
② 委託元である学校などから預かった機微な個人情報が外部に流出したおそれがあり、自社のみの問題にとどまらず、取引先や関係者への影響と説明責任が生じている。

印刷業者が抱える“想定以上”のリスク

印刷業者は、一時的に委託されたデータを扱う立場であっても、実質的には個人情報を保管・加工しています。特に卒業アルバムは「子ども」「学校」「写真」というセンシティブな要素を含んでおり、社会的な注目度や反響が大きくなりやすいという特徴があります。

また、教育機関や保護者の信頼を背負っているという点でも、情報管理責任は重くなります。一度でも漏洩が発生すれば、長年に渡り築き上げてきた企業の信頼が損なわれ、業務継続に影響を与える可能性も考えられます。従って、印刷業者には従来のリスク認識を超えた厳格な対策が求められています。

印刷業者に求められる3つの現実的な対応策

1. データの暗号化（「漏れても読まれない」防御策）

今回の事例では、各社とも一定の対策を講じていたにもかかわらず、外部からの侵入を防ぐことはできませんでした。このような状況から、万が一侵入されても、ファイルの中身を第三者が読み取れないよう暗号化を徹底することが重要です。特に顔写真・氏名といった重要度の高いデータは暗号化して保管することが必須の対策になります。

なお、個人情報保護法についてのガイドラインによると、万が一漏えい等が発生した場合でも（又は発生したおそれがあっても）、高度な暗号化でファイルを秘匿化していれば個人情報保護委員会等への報告義務が免除されるとしています。^※6

なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
「個人情報の保護に関する法律についてのガイドライン（通則編）『3-5-3-1 報告対象となる事態』」より一部抜粋

2. 保有データの棚卸しと削除

定期的なデータ棚卸しによって保有状況を正確に把握し、重要度に応じた管理を行うことが必要です。その上で、「持たなければ守る必要もない」という原則のもと、不要なデータは削除します。また、必要なデータについては暗号化を施し、保管期限を設定して管理します。イシクラの事例でも、本来削除すべきデータが残っていたことが被害拡大の一因となりました。

3. 委託先と自社の「実効的な運用監査」

契約書面による管理に加え、実際の運用状況（脆弱性管理・設定状況）やデータ削除・アクセス制御の実施状況を確認します。両事例で見られたように、委託先の設定ミスや管理不足が攻撃の足がかりになったため、契約管理と運用監査の両面から安全性を確保することが不可欠です。

外部に業務を委託する際、自社にも責任が生じるという前提で、委託先や設定の脆弱性について厳密な確認を行う必要があります。契約時には、情報管理基準や監査の実施体制についても明確にし、万一の際の責任範囲を双方で共有しておくことが重要です。

データを預かる全ての事業者に生じる責任

今回の漏洩事件では、印刷業者は被害者であるにもかかわらず、委託元の学校側から責任を問われるケースが発生しています。卒業アルバムに掲載するデータのようなセンシティブな情報が流出すると、その影響は非常に深刻です。学校や保護者に対する説明責任や、再発防止策の策定など、事後対応にかかる負担も小さくありません。

これは印刷業者のみならず、機微なデータを預かるすべての委託業者には、それを守る責任が発生します。経営者はこの現実を直視し、セキュリティ体制の再構築と強化に向けた行動を取る必要があります。

暗号化で「漏れても読まれない」ファイル管理を

卒業アルバムの制作工程では、多数の写真データや名簿情報など、極めて重要なファイルが日常的に取り扱われています。本記事でも述べた通り、現代のサイバー攻撃の高度化と巧妙化により、どれほど厳重な対策を講じていても侵入リスクを完全に排除することは困難です。したがって、万が一情報が流出した場合でも、第三者による内容の読み取りや悪用を防ぐ「漏れても読まれない」対策が不可欠となります。

ファイル暗号化ソリューション「DataClasys（データクレシス）」は、印刷業務におけるファイルの受け渡し・保管・加工すべての段階で、不正な閲覧や利用を防止します。特に、委託先から預かった顔写真や氏名などの機微な個人情報の管理において、暗号化によって漏洩リスクを最小限に抑える実用的なセキュリティ対策を提供します。

特に以下の課題を感じている企業様に最適です：