外部サイトへの本学構成員に関する個人情報の流出について
北陸先端科学技術大学院大学
個人情報総括保護管理者 西山 和徳
最高情報セキュリティ責任者(CISO) 飯田 弘之
本学構成員(教職員及び学生)の氏名、本学が付与したメールアドレス、所属を記した個人情報が外部サイトにアップロードされ、令和2年11月20日より、当該サイト上から情報の削除が確認された令和3年1月16日までの間、当該サイトの運用者及び契約者に対して、これら個人情報の閲覧・ダウンロードが可能となっておりました。
関係者の皆様には、多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
本学ではこのような事案の発生に至りましたことを重く受け止め、今後の確実な再発防止に向けて個人情報保護、取扱に関する教職員の一層の意識向上及び情報管理体制の強化に努めてまいります。
<経緯・詳細>
令和2年11月20日、本学職員が業務として、ダウンロードしたファイルを外部のウィルスチェックサービスサイト(以下、「外部サイト」という。)に自動アップロードし、安全確認を行う機能が導入された端末を誤って使用し、構成員の個人情報1,725件を含む資料ファイルをダウンロードしました。
そのため、ダウンロードしたファイルが自動的に外部サイトにアップロードされることとなり、当該外部サイトにアップロードされたファイルにおいては、外部サイト運用者のみならず、外部サイトと契約を締結している第三者(主にセキュリティベンダ)から閲覧・ダウンロードが可能となりました。
令和3年1月15日に本事態を把握し、直ちに削除要請を行い、翌16日にファイルが外部サイトより削除されたことが確認されるまでの間、当該個人情報が閲覧・ダウンロード可能になっていたと考えられます。
なお、本事態の発生による本学業務や学外への影響は無かったことを確認しています。
<流出した個人情報>
件数 1,725件
内容 本学構成員(教職員及び学生)の
・氏名
・本学が付与しているメールアドレス
・所属部局(学生については所属研究室情報を含む。)
※ 生年月日・住所の情報は含まれません。また、流出した情報と同等の内容が大学/研究室等のホームページで公開されている場合があります。
<対応>
・ 事案の発覚後(1月15日)、直ちに外部サイトへファイル削除を依頼し、翌1月16日、削除完了を確認しました。
・ 本学構成員へ向けて本件の報告・お詫び、これらの個人情報を悪用される可能性、対応等に関する注意喚起を記載した連絡を行いました。
<再発防止への取り組み>
・ 教職員全員に対する注意喚起を行います。
・ 特定用途に用いられるべき端末の管理を強化し、日常業務等に用いられることはないように周知徹底いたします。
<問い合せ先>
CSIRT:sec-incident@ml.jaist.ac.jp
総務課総務係:soumuka@ml.jaist.ac.jp
※CSIRT...情報セキュリティインシデント対応班
(Computer Security Incident Response Team)
令和3年1月29日