2025年4月10日 / 最終更新日 : 2025年4月21日 dataclasys インシデント

山形市立小学校で児童の個人情報が誤送信 学校現場に求められるセキュリティ対策とは

山形市立小学校で発生した個人情報の誤送信

2025年4月8日、山形市教育委員会は、市立小学校で児童の個人情報を含む資料が誤って全保護者に一斉送信されるという情報漏えい事故が発生したことを公表しました。流出したのは新学期のクラス編成に使われる名簿で、児童・保護者の氏名の他、学力検査の結果・性格・行動・家庭環境などが記載されていました。この資料は本来学校の内部だけで共有されるべきものでした。

事件は発表前日の7日に発生しました。送信前、教員はメール文面や表題について教頭のチェックを受けましたが、添付ファイルの内容に対する確認は行われませんでした。その結果、送信されたExcelファイルには、送る予定の名簿だけでなく、別タブで個人情報が隠れていることに気付かず送信されてしまいました。また、このファイルにはパスワード設定もされていませんでした。

送信後、保護者からの連絡により問題が発覚しました。学校は速やかに教育委員会に報告し、保護者にはメールを開封せず削除することを依頼しましたが、すでに5人程度がファイルを開封していたことが確認されました。

山形県教育委員会はこの問題を受け、以下のような再発防止策を講じることを発表しました。

  • メール送信時の複数人によるチェック
  • ファイルへのパスワード設定の徹底
  • データ送信時にはPDF形式に変換

また、臨時の保護者会を開催して経緯の説明を行い、児童に対しても謝罪するとしています。

再発防止にはシステム的アプローチが必要

2025年3月に教育情報セキュリティポリシーに関するガイドラインが改訂され、教育分野における情報管理の重要性はますます高まっています。

一部メディアは”最高機密”級の資料が誤送信されたと報道しているため、上記ガイドラインにおける「重要性分類1」に該当する情報が含まれていた可能性もありますが、詳細は不明です。なお、情報資産の分類の定義は以下になります。

  • 重要性分類1:セキュリティ侵害が教職員又は児童生徒の生命、財産、プライバシー等へ重大な影響を及ぼす。
  • 重要性分類2:セキュリティ侵害が学校事務及び教育活動の実施に重大な影響を及ぼす。(Ⅰを除く)
  • 重要性分類3:セキュリティ侵害が学校事務及び教育活動の実施に影響を及ぼす。(Ⅱ以上を除く)
  • 重要性分類4:セキュリティ侵害が学校事務及び教育活動の実施に影響をほとんど及ぼさない。(Ⅲ以上を除く)

重要性分類1の情報には、業務に係る特定の教職員等のみがアクセスすることを想定されており、具体的な例として学校運営に関する情報や健康に関する情報(要配慮個人情報を含む)等が挙げられます。

重要性分類2の情報は、児童生徒の氏名・所属等や健康に関する情報(要配慮個人情報を含まない)の他、今回漏えいしたとされる成績に関する情報も例示されています。詳しくは実際のガイドラインをご確認ください。

本来、機密情報はその重要度に応じて分類され、分類に応じて適切に管理される必要があります。これは学校に存在する文書やデータファイルなどについても同様です。

今回、再発防止策としてファイルのパスワード設定の徹底やメール送信時の複数人チェックなどが上がっています。しかし、パスワード設定や管理、ダブルチェックは、いずれも普段から忙しく働いている教職員の業務を増やす恐れがあります。

何故なら、業務で使うファイルを開くたびにパスワードを入力するのは手間であるし、さらに設定したパスワードの管理も煩雑になるからです。こうした負担が大きいと、パスワードが使い回されたり、場合によっては教職員がパスワード設定そのものを省略してしまう可能性も出てきます。

また、ダブルチェックを毎回行うのも手間が掛かるため、時間が経つにつれて緊張感が薄れ、確認が形骸化してしまう可能性があります。事件直後は慎重に対応できていても、1年、3年、5年と時間が経つにつれて確認が甘くなり、同様の事故が再発してしまうリスクも否定できません。

もちろん、セキュリティ教育なども重要ですが、それでもヒューマンエラーは必ず発生します。このような人の力による対策も必要なのですが、やはり、システム的に対応できる部分はシステム面で対策することが、再発防止に繋がると考えます。こうした仕組みを取り入れることで、教職員の負担を軽減しつつ、より確実な情報漏えい対策につながります。

特に、今回のような誤送信事故では、ミスをした教職員は情報漏えいの被害者や同僚からだけでなく、世間からも厳しい目を向けられることになります。しかし、どんなに気をつけていても人間である以上、ヒューマンエラーを完全になくすことは不可能です。だからこそ、教職員を責めるのではなく、教職員を守るためにも、人に依存した仕組みを減らし、システムで対応できる部分には積極的に頼るべきです。職員を守ることは組織の責任であり、職員が安心して自分の業務に専念できる体制を構築することが、組織が果たすべき責務であると言えます。

現場においても、機密情報の取り扱いに対する意識を高め、システム的な対策を強化することが必要です。システム面でのアプローチを強化し、ヒューマンエラーを最小限に抑えることが、持続的な改善への第一歩と言えるでしょう。

カタログ・資料ダウンロードはこちら

製品資料
製品説明資料
機密情報ファイル 保護・管理システム「DataClasys(データクレシス)」の資料です。
事例集
導入事例集
ランサムウェア対策の他、サプライチェーンからの漏洩対策についても複数掲載。ご興味のある方は資料をご確認ください。

参考

※1 小学校の教員が”最高機密”級の資料を全保護者に誤送信 家庭環境、性格、成績など…なぜ気づかなかったのか?答えはデータの「形式」にあった(山形市)| TBS NEWS DIG 2025年4月10日

※2 【山形】メール誤送信で個人情報漏えい…学力検査の結果・行動・家庭環境など山形市の小学校で児童数十人分 | さくらんぼテレビ 2025年4月8日

※3 教育情報セキュリティポリシーに関するガイドライン | 文部科学省 2025年3月 改訂

著者

データクレシス マーケティングチーム

セキュリティ分野における最新情報や重要なトピックスを発信するコラムです。企業の情報セキュリティに役立つ知識をお届けします。

セキュリティ最新情報をメールでお届け!登録はこちら

コラムカテゴリー
インシデント
セキュリティ

前の記事

機密情報とは?定義とその重要性
2025年4月4日
セキュリティ

次の記事

機密情報の漏洩原因とその防止策
2025年4月11日