IT・ベンチャーの企業法務

慶応大学の情報漏洩に学ぶ危機管理と弁護士の役割

2021.08.27

2023.01.19

IT・ベンチャーの企業法務

不正アクセスによる情報漏洩は企業だけに限らず教育現場でも起こっていますが、その対応は企業とは少し異なるようです。

特に個人情報に関しては学生、教職員などが中心となるため、情報漏洩インシデントが発生した場合の情報公開も限られた範囲に対して行われる傾向があります。

しかし、個人情報保護に対しては企業も学校も変わることはなく、情報漏洩における危機管理の基本は同じです。

そこで、今回は不正アクセスによる個人情報の漏洩というインシデントに対する危機管理の側面から、慶応義塾大学湘南藤沢キャンパス(以下、慶応SFC)の情報漏洩事件への対応を基に危機管理体制のポイントを解説します。

この記事の目次

慶応SFCの情報漏洩事件の概要

慶応SFCに発生した、不正アクセスによる情報漏洩に関する主な内容は次の通りです。

漏洩の発覚：2020年9月29日未明に授業支援システム(SFC-SFS)※への不正アクセスによる情報漏洩の可能性が判明。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
※SFC-SFSは、履修者への一斉メール、履修者名簿のダウンロード、レポート・課題の登録、提出受付、成績(評語)登録、授業調査のコメント入力・閲覧などの機能を持つシステム。登録、提出受付、成績(評語)登録、授業調査のコメント入力・閲覧などの機能を持つシステム。
漏洩の原因：システム利用者19名のID及びパスワードが盗まれ、それを第三者が不正利用しシステムに侵入。SFC-SFSの脆弱性が主な原因と考えられる。
漏洩の範囲：湘南藤沢キャンパスが管理していた学生・教職員等の個人情報
漏洩の内容：「氏名」「住所」「アカウント名」「メールアドレス」のほかに学生の場合には「顔写真」「学籍番号」「単位取得情報」「入学年月日」など、教職員であれば「教職員番号」「職位」「プロフィール」「個人のメールデータ」などが含まれる。
漏洩の件数：情報漏洩の可能性があるのは約33,000件

不正アクセスの発覚と初動対応

9月15日 17:45 頃、慶応SFCのIT部門においてSFC-SFSに対する脆弱性探査が散発的に行われている形跡を確認。

さらに、9月28日夜、SFC-SFSシステムに対する不審なアクセスを検知し調査した結果、9月29日未明に不正アクセスによる情報漏洩の可能性が判明しました。

慶応SFCは不正アクセスの予兆である脆弱性探査を確認した翌日から次の初動対応を開始しています。

全ての利用者のパスワード変更を依頼 (9月16日、9月30日)
全ての認証箇所および認証ログ等を継続監視 (9月16日から継続)
学外からの共用計算サーバへのログインを公開鍵認証のみに限定 (9月16日)
脆弱性が確認されたWebサービスの停止と、脆弱性箇所の改修【実施中】(9月16日以降順次、SFC-SFSは9月29日)
SFC-SFSのシステムを停止 (9月29日)

慶応SFCの初動対応について

不正アクセスが発覚した場合、対策本部を設置して初動対応にあたるのが基本ですが、本件では慶応義塾常任理事で最高情報責任者兼最高情報セキュリティー責任者の国領氏をリーダーとしたIT部門が対策本部として機能したようです。

初動対応で重要なのは、被害の拡大や2次被害の発生を防止するために「情報の隔離」「ネットワークの遮断」「サービスの停止」を行うことですが、慶応SFCの場合はシステムの利用者が不特定多数ではなく学生や教職員に限定されることから、パスワードの変更やログイン方法の限定などを優先しています。

しかし、不正アクセスの予兆を確認した時点ですぐに動き出したこと、さらには情報漏洩の可能性が判明した9月29日にSFC-SFSのシステムを停止したことは適切な危機管理対応と言えるでしょう。

慶応SFCの初動対応に関して気になる点は、犯罪である不正アクセスに対し証拠保全措置を行った上で監督官庁や警察などへの報告を行ったかですが、プレスリリースや報道メディアなどに記述が無いため確認できません。

関係者への通知について

慶応SFCの学生や教職員に対する通知は以下の通り業務連絡メールのような形で行われ、個人情報の漏洩に触れたのは9月30日のメールが初めてと思われます。

9月29日、慶応SFCの所属職員に対し「重大なトラブル」が発生したためSFC-SFSを停止すると通知。

9月30日、このトラブルにより「利用者のアカウント情報」が漏洩した可能性があるとしてSFC-SFSの全利用者にパスワード変更を依頼。

また、所属職員に対し、SFC-SFSの停止により履修者選抜や履修学生への連絡を予定通り行うことができないため一定期間休講すると通知。
　　　　　
この情報を聞き付けた、J-CASTニュースが取材し同日「慶應SFCで授業システムに重大なトラブル、秋学期開始が1週遅れの異常事態」と題した記事で、「利用者のアカウント情報」の漏洩が公になりました。

10月1日、慶応SFCのwebサイトで学生向けに、不正アクセスの可能性があるためSFC-SFSを9月29日に停止し、この影響により10月1日から7日まで休講とすると通知。(※個人情報漏洩については記載なし)

情報漏洩発覚後のプレスリリース

不正アクセスによる個人情報漏洩に関して初めて公表したのは11月10日、webサイトで行われました。

このたび、湘南藤沢キャンパスの情報ネットワークシステム(SFC-CNS)および授業支援システム(SFC-SFS)において、何らかの方法でシステムの利用者19名(教職員)の IDおよびパスワードが窃取され、それを用いた外部からの不正アクセスと授業支援システム (SFC-SFS)の脆弱性をついた攻撃により、同システムから利用者の個人情報が漏洩した可能性があることが判明しました。このような事態が発生し、関係者の皆さまにご迷惑とご心配をおかけすることになりましたことを深くお詫び申し上げます。なお、現時点で 2 次被害は確認されておりません。

慶応義塾「SFC-CNS および SFC-SFS への不正アクセスによる個人情報漏洩について」

このプレスリリースには次の事項についての詳細な情報も記載されていました。

漏洩した可能性のある個人情報の内容
漏洩が判明した経緯
漏洩が発生した原因
判明後の対応
現在の状況
再発防止策

上記内容は、情報漏洩に関する公表資料に必要な項目をほぼ網羅しています。

慶応SFCのプレスリリースについて

プレスリリースの時期

本来であれば、最初に慶応SFCが自ら公表しなければならないところが、J-CASTニュースの報道から41日後に公表したのは遅かったと言わざるをえません。

なぜなら、個人情報の漏洩においては、二次被害などを防止するために漏洩した個人情報の本人への通知は急ぐ必要があるからです。

ただし、9月30日のパスワード変更依頼の際に「利用者のアカウント情報」の具体的な内容を知らせているのであれば問題ありません。

詐欺や迷惑行為に対する注意喚起

情報漏洩発覚後のプレスリリースでは、発生した情報漏洩について公表を行い、個人情報が漏えいした場合は、本人にその事実を知らせお詫びするとともに、詐欺や迷惑行為などの被害にあわないよう注意喚起をしなければなりません。

閉鎖されたキャンパス内の情報でも外の世界に漏れた場合は悪用される可能性があり、本件のケースでも詐欺や迷惑行為に対する注意喚起は必要です。

危機対応の中心となる対策本部

慶応SFCはプレスリリースの「再発防止策」の中で対策本部について次のように記述しています。

慶應義塾では、今回の不正アクセス事案をふまえ、全学的に Web アプリケーションやシステムのセキュリティチェックと改善、個人情報を守るための取り扱い見直し等、再発防止に向けた対策に早急に取り組んでまいります。また、2020年11月1日付で学内に CSIRT(情報セキュリティインシデント対策チーム)を設置し、サイバーセキュリティへの包括的な対応をとれる組織づくりを実施するとともに、外部の専門機関とも連携しながら、全学的にさらなるセキュリティの強化に努めてまいります。

慶応義塾「SFC-CNS および SFC-SFS への不正アクセスによる個人情報漏洩について」

本件の初動対応は慶応SFCの内部組織がそのまま対策本部の役割を果たしたようですが、2020年11月1日に設置した「CSIRT」は、セキュリティ強化と今後インシデントが発生した際の危機対応の中心となる対策本部に相当する組織です。

CSIRTの構成メンバーは不明ですが、システムのセキュリティ対策だけでなく、対象ユーザーへの連絡、監督官庁や警察などへの報告、メディア対応、法的責任の検討などを同時進行で行う必要があるので、一般的には次のような外部の第三者機関や専門家の参加が必要となります。