« 地上デジタル見たくない人が2割 | トップページ | 弁護事務所がファックス誤送信 »

2005.06.04

一宮の小学校から情報流出は面倒な事件だ

Tetsu=TaLowの雑記さんの記事「[セキュリティ] バカ?」も見解を述べていますが

北陸中日新聞より「全児童名簿がネット流出 愛知・一宮の市立小
ちょっと前の事件だが、整理された記事がなくてちょっと書くのを控えてきました。

一宮市教委によると、これらの個人情報は小学校で作成、管理されたもので、二〇〇四年三月末ごろ、同小学校の当時の校務主任の男性教諭(47)が、PTAへの案内状作成や成績処理作業を行うため、持ち運びできる外部メモリーに保存して自宅へ持ち出した。この教諭は息子のパソコンで作業し、データを消去しなかったため、個人情報がそのまま息子のパソコンに残った。
息子はこのパソコンでファイル交換ソフト「ウィニー」を使っていたが、今年三月五日から三十日までの間、ウィニーが自動的にデータを外に流すウイルスに感染、パソコンは常時インターネットにつないだ状態だったため、そこから情報が漏れたとみられる。
2004年3月つまり1年以上前に、自宅の息子つまり他人のPCにコピーして作業し、そのまま削除しなかった。
その後、Winy でウイルスに感染しデータが流出した

この問題は、
   1 データを持ち出した
   2 他人のPCで作業し、消さなかった
   3 Winy を使用していて
   4 ウイルス感染していたので、流出した

と言えるでしょうが、実は流出したデータを見てみるともっとやっかいな話しのようです。

名簿には児童の氏名や電話番号、保護者名、住所のほか、一緒に登校するグループの通学班、兄弟姉妹の名前と学年クラスが記載されていた。教職員名簿には、住所、年齢、教員免許の種類、出身大学と卒業年月が書かれていた。
さらに、運動会で児童がグループで走っている写真など複数の児童写真も流出していることが確認され、同教諭が〇三年度に担当した三年生の体育と四年生の図工の個人成績表も流出していた。
この流出データを見るとどう考えても一つのファイルではない。つまり、フォルダーか最悪の場合ドライブの内容をコピーして持ち出したことになるでしょう。
なまじメモリーにコピーして持ち出せる技量があったことが被害を拡大したと言って良いでしょう。

こういう事件に対して「管理を強化する」でなんとかなるものなのでしょうか?
廃棄HDDから情報が流出した場合に、なんでHDDを破壊しておかないのか、という非難のようなものかもしれません。とてもじゃないが、当事者にそのような先の先の問題を理解しろというのが無理なような気がします。
じゃあ「とにかく持ち出すな」で済むのかと言えば「持ち出せないからコピーする」になるに決まってます。社会全体としてコンピュータデータをやり取りしているという現実があるのですから、持ち出すな・ネットに接続するななんてのは全くの無理です。

この先生がやるべきことは
   1 持ち出すデータは必要なファイルだけに限定する
   2 作業するPCにはファイルをコピーしない
   3 作業中はネットワークを切断しておく
   4 作業終了後に TEMP ファイルを削除
といったところでしょうか?
そもそも他人のPCで作業するというのが論外で、他人のPCでやるなら仕事場(学校)の同僚に委託するべきだったでしょう。

後から見ると「そんなの常識だ」と思えるし「よくよく間の悪い組合せで流出した」とも思えますが、その「滅多にない組合せ」で事件は起きるのですね。

6月 4, 2005 at 10:00 午後 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/4409797

この記事へのトラックバック一覧です: 一宮の小学校から情報流出は面倒な事件だ:

» 一宮市の小学校、全児童・職員の名簿がWinnyで流出 トラックバック てけとぉな blog
一宮市の小学校、全児童・職員の名簿がWinnyで流出 愛知県一宮市教育委員会が6 続きを読む

受信: 2005/06/06 10:36:11

コメント

こんにちは。ご無沙汰しています。
管理者としては正直参ったなあ、と思います。こういう話は同僚に注意を喚起してもなかなか理解してもらえそうにないです。やっと最近「HDに入れちゃダメ」の部分は理解してもらえたような気がしますが・・・。
私の職場の場合は個人情報はサーバ上にはおかず、すべてFDなどです。これが面倒くさいと大不評です。

個人情報を扱う場合の注意についてはおっしゃるとおりだと思います。

>1 持ち出すデータは必要なファイルだけに限定する

ここら辺から厳しく規制しないとダメかもです。必要なファイルであっても安易に持ち出さないのが一番ですね。…持ち出すな、といっても持ち出さざるを得ないのが実態ですが、でも、ダメったらダメです。こう言い続けるしかないです・・・・。

>2 作業するPCにはファイルをコピーしない
…なんでコピーするんですかねえ、そもそも。
まあ、FDのアクセスがまだるっこしい、というのは分かりますが・・・・。

>3 作業中はネットワークを切断しておく
ああ、これは私もしてないです。いれっぱなし。WINNYがあろうが、なかろうが、やっぱり切断すべきでしょうか。

>4 作業終了後に TEMP ファイルを削除
…これがやっかいです。説明するとき、TEMPファイルって何?からの話になります。最後まで聞いてくれるだろうか・・・・。

結局は成績やら個人情報に関する仕事は個人のHDに入れちゃダメ、家でやっちゃダメ、ということになるのですが、なかなかそうはいかないのが学校現場です。学校では生徒に向き合うのが仕事なので、それ以外は深夜に家でやってたりするのが実情ですからねえ・・・。

今回はネットワーク上での流出ですが、むしろ結構起こりうるのがFDなどの紛失ですね。私は日頃はスティックタイプのメモリーを持ち歩いていますが、落ちないかどうかしょっちゅう確認していたりします。結構どきどきします。

WORDやEXCELといった汎用ソフトではなく、成績管理用のソフトを使った方が危険性がないのかもしれませんが、高価ですしね・・・・。
いずれにしても、教育現場の場合、こうした管理は専門家ではなく、教員の「知恵と勇気」に責任を負わされている部分が大きいので、結構危うい面が多いと思います。

投稿: SNOWTOWN | 2005/06/06 17:15:10

SNOWTOWNさん、お疲れさまです。

    >教育現場の場合、こうした管理は専門家ではなく、
    >教員の「知恵と勇気」に責任を負わされている部分が大きいので、
    >結構危うい面が多いと思います。

この点ですが、よほど特殊なところで無い限り専門家が居る職場というのは
無いだろうと思います。
「こんな大変で面倒なことを専門家でない人間がなんとかするのか?」
ということだと、どうもそのようです。

世間はそこそこ特殊技能が保有しているか、保有していないかというシロクロというか二者択一という状態ではなくて、資格はないけど知っているといったところで回っているようです。

わたしは NIFCON の運営側を何回もやりましたが、「食品安全法はどうだ」なんて会話をしていたことを思い出します。
自動車の免許を持っている人が社会人ではほとんどだと思いますが、誰でも料金を取って送迎したら白タクになっちゃうと知っている、なんてところが代表です。
アイマイではあるが知っている。

IT関係だと技術問題があるのですが、やはり社会常識になることが重要なのではないか?と思います。

でも「個人情報保護法があるでしょう?」と思われるでしょうが、個人情報保護法は行政法で行政が企業などに関わる手順を定めた法律ですから、正に食品衛生の法律などと同列なのでしょう。
現時点では個人情報保護法取扱資格を個人に与える事は無いようで、社会の常識となる方向なのだろうと思います。

そういう意味では、一宮の事件のような問題に対して「持ち出すな」と注意したから、それで良しというのではダメでしょう。
別に書きましたが、白浜で報告があったのは個人情報流出の1/3程度は、盗難・車上荒らし、落とし物などの形であって、情報の管理者(PCの持ち主)に刑事罰を追求出来ないのでは?ということだそうです。

注意する(罰する)のではなく、個人のスキルとして個人情報保護法などに自然に対応できるようにするためには、なぜ流出するのかといった技術上の仕組みなどを理解していただくしかないのかな?と思っています。

ただ、この手の話しはドロボーの手口を教えるというのと同列なので、なかなか躊躇してしまうことろですが(^_^;)
他に手は無いように思っています。

投稿: 酔うぞ | 2005/06/06 20:36:03

うーん、確かにおっしゃるとおりですが、難しいですね。「こういう危険があるからやめてね」というのは「赤信号では道路を渡らないでね」的な注意な訳ですから、全員が守るなんて事は考えにくいです。でも、赤信号は守らせたいですね・・・。

しかし、もし個人情報が流出したなんてことになれば、刑事罰には問えないけれど、職務上は十二分に処罰に値するわけです。だから気をつけて欲しいんですけど、自分自身も技術上どれだけ分かっているかというと、どうにも自信がないわけです。

確かに技術的なものを繰り返し説明すれば、かなり防げてくるかもしれませんね。まあ、確かに手口を教える事ではありそうですけど・・・(-_-;)。


投稿: SNOWTOWN | 2005/06/06 20:56:24

コメントを書く