コラム

【情報漏洩しくじり談】学生の名簿データを部外者の人に送信してしまった!

【情報漏洩しくじり談】学生の名簿データを部外者の人に送信してしまった!

「情報漏洩しくじり談」も今回で3回目となりました。

今回は北海道在住のCさんのお話です。それでは早速どうぞ。

学生の名簿データを部外者の人に送信してしまった!

私は数年前、大学の事務員として働いていました。

その時は、図書館の蔵書管理と利用管理をしており、大学生が何の図書を借りたか、論文を取り寄せたか、どの程度図書館を利用しているか、といった調査をしていました。そのため、全学生数千人のデータをPCに入れ管理していました。

学生の名簿は厳重に管理されており、簡単にデータベースからダウンロードできないようにされていましたが、私のような個人の仕事で直接学生と関わったり、教務に関わる職員は、普段から閲覧する権限がありましたし、仕事上必要な場合はダウンロードできるようになっていました。

いつもは、もちろんパソコン自体にもパスワードを入れないと見られないようにしっかりと管理しておりましたし、データを送付する際にも、メールを二つにわけ、一通はデータのみ、もう1通にパスワードを送るなど、厳重に厳重を重ねて管理するよう上司から言われておりました。

大学法人で過去に情報漏えいがあったこと、そして現在は個人情報の取り扱いが厳しくなっていることから、特に学生の名前や連絡先に関することは注意をしていました。

あるとき、外部の納品業者に学生からのリクエスト図書や論文を送る為、データを整理し、送付するところでした。ふだんは、リクエストがあった学生からの名前や連絡先、図書名などをエクセルのシートで管理していました。外部業者や取引先に送る時は、エクセルのシートをを学生の名前や連絡先部分を非表示にし、外部に漏れないように送信するのですが、そのときはうっかりとその作業を忘れてしまい、数百人分の学生の名前や連絡先が記載されたままの状態で、外部業者に送信されてしまいました。

私はすぐに誤りに気がつき、2通目のパスワードを送るメールを送る前に、すぐに上司に報告しました。「それは大変だ。すぐに連絡しよう。」と言ってくれ、上司と共に誤りの電話を入れ、取引先にメールの中身を見ずに廃棄してもらうことをお願いしました。その際には「誤ったデータを送ってしまったので、そのまま中身を見ずに破棄してください。」とお願いしました。

このとき私は「あぁクビになるかもしれない・・・」という思いが頭をよぎりました。

学生の個人情報を漏洩してしまったという事は、間違いなく処分の対象になるでしょうし、せっかく受かった大学法人の仕事なのに、やってしまった・・・と頭を抱えました。上司からもきっと怒られるだろうし、この先どうすればいいだろう・・・と頭の中が真っ白になってしまいました。短時間で頭の中がぐるぐると最悪のシナリオを巡っていました。

しかし、普段からやりとりがあり面識もある納品会社の方だったので、事情を説明すると、「わかりましたよ。そのまま破棄します。悪用はしませんので大丈夫ですよ。」と言ってくださいました。この担当の方が本当にいい方だったので、私はクビにならずに済みました。

また、上司も「すぐに気が付いてミスを報告してくれたので、隠すよりよほどよかった。次からは気をつけてくれ。もし次に同じことをやったら君の椅子はなくなるぞ。」といわれただけで終わりました。このときは本当に心からほっとしました。

もしこの担当者が悪い人で、私のミスで送信した情報が原因で学生の情報が外に漏れていたら、私は間違いなくクビでしょうし、マスコミなどにばれていたら、あっという間に叩かれていたことでしょう。

特に処罰や減給もありませんでしたが、私のミスはいわゆる「ヒヤリハット」の事例として、課や他の職員へ周知されることになりました。

書面で回されたのですが、もちろん近くにいる人は私のことだとわかったらしく、「これあなたでしょ~大変だったわね!」と声をかけてくれる人も居ました。その中には、「昔学生の成績の入った書類を紛失した事がある」といった人や、「学生から預かったUSBを紛失しかけて冷や汗をかいた」という自らの失敗談を話してくれる人も居ました。

自分だけでなく、誰しもやってしまうことなのだなぁ・・・と思いました。大学は学生や教授陣の個人情報を大量に保持しますので、改めて情報管理の大切さを感じさせられました。

私のミスの原因は「慣れ」にあったと思います。

学生の名簿を常日頃から取り扱っていて、「厳重に取り扱わねばならない」という意識が薄れていたように思います。また、社内向けのメールならまだしも「外部の業者へメールで漏らす」ということは、情報管理の大切さを欠如していたと思います。

そのミスがあってからは「メールをする前に再度確認する」「添付ファイルをする際は、内容を確認してから送信する」というようにしました。また、自分のデスクにふせんをはり、目に見えて努力しているとアピールするようにもしました。その後はそうしたミスは一切していません。

個人情報を扱う際は、私のようなミスをしないように、ぜひみなさん慎重に慎重を重ねて取り扱うようにしてください。

管理人からの一言 – Google Workspaceならこうやって解決できる

Google Workspaceでは、メールで重要なデータを送る場合は、メール添付せずに、Googleドライブ上のデータのURLを相手先に通知します。Googleドライブは細かな共有設定ができるため、まずは共有設定を最小限に限定します。こうすることで、万が一メールを部外者に送ったとしても、共有設定されていない人はデータにアクセスできず、情報が外部に漏れることはありません。

また、今回のように見られたくないデータを相手に送ってしまった場合、メール送信後であっても、すぐにファイルを修正または削除することで、情報漏えいを最小限に留めることができたでしょう。

人間誰しもミスは起こしてしまうものです。

Cさんもおっしゃっていますが、特に毎日の作業の繰り返しで「慣れ」が生じていると、つい他のことを考えながら作業できてしまい、確認が疎かになってしまいます。

Google Workspaceでメール添付しない癖をつけておけば、情報漏えいのリスクを減らすことができるでしょう。

最後までお読みいただき、ありがとうございました。