「短大受験者の合否情報、ウィニーで流出 札幌」

元、web制作会社社員のマイスターです。

以前、以下のような記事を書きました。

・教育機関は、個人情報の流出をどう防ぐか
http://blog.livedoor.jp/shiki01/archives/50168752.html

Winnyを使ったパソコンがウイルスに感染し、高等教育機関の個人情報が流出する…。
いつかは起きる事件だと思っておりましたが、ついに現実になってしまいましたね。

【教育関連ニュース】—————————————-

■「<北海道武蔵女子短大>受験生の合否情報流出 ウィニーで」(毎日新聞 Yahoo!NEWS掲載)
http://headlines.yahoo.co.jp/hl?a=20060404-00000008-mai-soci

■「短大受験者の合否情報、ウィニーで流出 札幌」(Asahi.com)
http://www.asahi.com/national/update/0404/TKY200604040135.html
———————————————————–

いつかは起きると思っていても、実際に起きてみるとやはり、ショックです。
ちなみにこの報道を見た瞬間、マイスターなどは驚きのあまり、その時舐めていた「のど飴」をディスプレイに向かって発射してしまいました。

北海道武蔵女子短期大学の04年度受験生延べ約1000人分の住所や氏名、合否結果などの個人情報が、ファイル交換ソフト「Winny(ウィニー)」を介してネット上に流出したことが3日、分かった。入試システムを開発した会社の社員(37)の自宅パソコンが暴露ウイルスに感染したためとみられる。前代未聞の事態に文部科学省は調査に乗り出すことを明らかにした。
 毎日新聞が入手した資料によると、流出したのは04年度一般入試と推薦入試の受験者の個人情報。氏名、生年月日、住所、電話番号、出身高校に加え、合否結果や試験の得点などがネット上に流れた。被害にあった多くが道内に住む当時18~19歳の女性だった。また、保護者の氏名、住所、電話番号なども流出した。
(以上、毎日新聞記事より)

同短大が受験者データ管理のソフト開発を委託した市内のOA機器会社、大丸藤井にこれらの情報を渡した結果、男性社員(37)の私有パソコンから流出したという。
同社によると、漏れた個人情報はデータソフト作成のための「ダミー用」として、04年夏に大学から渡された。渡されたデータは、実際の受験者約千人の氏名、住所、電話番号、合否、生年月日などで、これらがすべて流出したという。
担当した社員は、データをメモリースティックに移し、自宅の私有パソコンで作業していた。今年2月ごろ、パソコンからデータを消去したが、それ以前にパソコンが暴露ウイルスに感染し、ウィニーを介してインターネット上に流出したらしい。同社は3日に流出に気づいた。男性社員が自宅にデータを持ち帰っていたことは、把握していなかったという。
同短大では4日午前、個人情報保護委員長の松田寿一教授らが会見し、「業者の要請とはいえ、生データを渡したことは配慮に欠けていた。被害に遭った学生と保護者におわびしたい」と陳謝した。
(以上、Asahi.com記事より)

メディアは、上記のように報じています。

短大も、どちらかというと被害を受けた方であり、OA機器商社「大丸藤井」の側に責任の大半がある、という見方もあるでしょう。
しかし受験生からしてみれば、情報を流出させたのは他でもなく、短大ですよね。

それに、開発の過程の中で、生データをそのまま渡すなどの行為は、やはり不適切でした。

何かのシステムを開発するときに、動作確認のために「実際のデータ」をテストに用いるということは、確かにあるのです。ダミーのデータよりも、本当のデータを使ってテストする方が、実際の使用時に近い環境になるわけですからね。
ただそれでも、顧客の個人情報は、普通は渡しません。どうしても実際のデータで動作確認をしたい場合は、開発の最後の確認段階で、短大の担当者が直接、データを扱って作業すると思います。

短大は、ダミーデータを作ることが面倒くさかったのかもしれませんが、やはり、ちょっと配慮に欠ける行為でしたね。

こうした事件の経緯について、北海道武蔵女子短大のwebサイトでは、既に経緯の説明がなされています。

■北海道武蔵女子短期大学
http://www.musashi-jc.ac.jp/

2.本件発生の経緯

2005年3月18日、入試情報システム構築に関わる契約を大丸藤井と結び、同契約に基づき、大丸藤井側の要請によりソフト開発のため、2004年度入学試験に関わるデータをMOで提供しました。以上が本学内における経緯であります。
以下は大丸藤井側からの現時点で受けた説明です。
大丸藤井の担当社員が本学のデータを持ち帰り、自宅のパソコンにコピーし、ソフト開発作業を行いました。しかし、開発作業終了後もデータを削除はしておりませんでした。当該社員は同じパソコンでファイル交換ソフト、ウィニーを使用しておりました。しかし、暴露ウィルスに感染し、データが流出したと見られます。流出したデータのウィニーを介しての持ち出し日は2005年3月31日でありました。
(「2004年度入試受験者の合否情報流出につきましてのご報告とお詫び」より)

「1.本件に関する事実の経緯」
「2.本件発生の経緯」
「3.本件に関わる本学の対応について」
「4.本学における個人情報保護の姿勢」
「5.今後の対応について」

…と、最低限、メディアおよび一般社会に対する必要な情報は、盛り込まれていると思います。
「2006年4月3日午後7時」に取材を受けて知った、とのことですが、まる1日でここまで整理していれば、広報的には、まずまずの対応ではないでしょうか。

業者側からの要請とはいえ、原データを提供したことは配慮に欠けておりました。
被害に遭った受験生、及び保護者の方々には、二次被害を防止するためにも、速やかに本件について通知するとともにお詫びを申し上げます。
尚、大丸藤井側に対しては、流出のもととなったデータの特定、複製の有無を確認依頼済みであります。(「2004年度入試受験者の合否情報流出につきましてのご報告とお詫び」より)

…のように、組織としての責任に関する言及と、謝罪、原因解明のための対応に関しても、説明がされていますし。

ただ、ちょっと良くない点もあります。

まずこの文章、学校のどの部署による発表なのか、わかりませんよね。文中に出てくる「対策本部」なのかもしれませんが、誰が事態の解決について責任を持っているのかが不明なので、違和感があります。
今回の問題を取り扱う部署の名前か、もしくは理事長や学長の名前でもいいと思うのですが、そうした署名があってしかるべきです。
こうした「名無しリリース」は、この北海道武蔵女子学園だけの問題ではなく、日本の大学の多くでしばしば見られるのですが、責任をあいまいにしてお茶を濁す、大学のガバナンスの様子をよく表しているように思います。無意識のうちにこうした表現を使っているのかも知れませんが、本来はおかしなことです。

そして、本件に対するお問い合わせ先が書かれていないのも問題です。これでは被害者は、学校に対して連絡のとりようがありません
「まずは、2004年度入試受験者及び保護者の皆様に対して、速やかに本件の発生を通知し、お詫び申し上げます。」とあるのですが、どのように通知されるのでしょうか。これから学校が、流出した情報の該当者達に一軒一軒連絡していくのか、それともこのリリース文がそうなのでしょうか。

各メディアの報道や、このリリース文を見て、

「自分の情報が流出したのかも!」
「この年に自分は受験したけど、実際にはどんな情報が流出しちゃったの!?」

と、不安になっている方々は少なくないはず。
(北海道武蔵女子学園のリリース文には、どんな情報が流出したかという説明は、一切ないのです)

そうした方々に対して、「お問い合わせ先はこちら」の一文があるのとないのとでは、事件に対する組織の姿勢が全く違います。

被害者が不安を抱いていることに対して、申し訳ないと思い、少しでもその不安を取り除きたいと考えているなら、自然にお問い合わせ先は書かれるんじゃないかなと、マイスターなどは思うのですが、いかがでしょうか。
あるいは個人情報が流出した被害者達に、学校が直接電話などで謝罪をしているのだとしたら、そういうことも書いた方がいいですよ。電話がくるまで不安いっぱいで、今頃、「お問い合わせ先」をネットや電話帳で一所懸命に探している方々がいると思います。

今回のようなプレスリリースを出す時には、発信する組織の都合だけではなく、被害者の側の都合も考えることが必要です。
プレスリリースというのは、それを出すことで問題が少しでも解決されるから、出すわけですよね。今回の場合、問題解決のために学園が説明をするべきなのは、メディアではなくて、どちらかというと被害者の皆様の方です。ですから、被害者の皆様に対して、今後どのような対応をしていくのか、具体的に書かれていてもよかったのではと思います。

ご参考までに、野村総合研究所の関連会社である「NRIセキュアテクノロジーズ」がまとめた調査結果をご照会しておきましょう。

■「個人情報保護に関する消費者意識調査2005 調査結果」(NRIセキュアテクノロジーズ)
http://www.nri-secure.co.jp/news_alert/news_release/06_03_03_1.html

この調査結果報告では、以下のような傾向があることが報告されています。

○過去1年間、インターネットを通じて自分の個人情報が漏洩した経験をもつ人のおよそ4割が、漏洩させたサービスをやめている

○やめた理由としては、『再び個人情報が漏洩することを恐れている』という回答が多いが、『抗議の手段として』やめてしまう人もいる。

○仮に自分の個人情報が漏洩された場合、企業が誠実な対応を行わないと、その企業のサービス会員をやめると答える消費者は81.3%。当該サービスだけでなくその企業ブランドからも離れたいという消費者は63.0%にも上る。個人情報漏洩への対応に失敗すると、企業ブランドに決定的に打撃を与える可能性がある。

○逆に、企業が誠実な対応をした場合には、その企業のサービス会員をやめると答える消費者は、不誠実な対応をした場合に比べて大幅に低下している。むしろ約8人に1人の消費者は、ブランドイメージが向上すると回答している。

○「誠実」と考える事後対応は
 ・『隠さずに通知する』
 ・『可能性のある事態に対応策を示す』
 ・『本人に経緯の詳細を通知する』
 ・『調査結果を迅速かつ頻繁に情報開示する』

ことである。

○企業が伝えるべき情報は、「何が漏れたのか」「対策は何か」「どこに漏れたのか」「漏洩した原因とその経緯」である。

いかがでしょうか。
学校は、「たかが情報漏洩くらいで、受験生が大幅に減ることなんてない」という意識がまだまだ強いように、マイスターは感じています。
確かに、企業のサービスが解約されてしまうのと同じように、学校への支持が簡単に失われるとは思いません。

しかし、そうした組織の姿勢は、顧客にはすぐにわかります。
今回の北海道武蔵女子学園はまだ、頑張ってリリースを作っていた方だと思いますが、本当に大切なのは、この後、被害者と、他の在学生と、今後の受験生達に、どのように対応していくかです。
そちらの方も、ぜひ今後、力を入れてやって頂きたいなと思います。

以上、マイスターでした。