学校の個人情報漏えい事故の発生状況について 本資料は 平成 25 年度 ( 平成 25 年 4 月 1 日 ~ 平成 26 年 3 月 31 日 ) に学校 教育機関 関連組織で発生した 児童 生徒 保護者らの個人情報を含む情報の漏えい事故についての公開情報を調査し 集計したものです 学校や自治体が

平成 25 年度学校 教育機関における個人情報漏えい事故の発生状況 - 調査報告書 -

学校の個人情報漏えい事故の発生状況について 本資料は 平成 25 年度 ( 平成 25 年 4 月 1 日 ~ 平成 26 年 3 月 31 日 ) に学校 教育機関 関連組織で発生した 児童 生徒 保護者らの個人情報を含む情報の漏えい事故についての公開情報を調査し 集計したものです 学校や自治体が発表 公開した情報を集計しています 発生したすべての情報漏えい事故を網羅したものではありません 平成 25 年度調査結果は 情報セキュリティ事故の発生日を基準に算出し 平成 24 年度までの調査結果は 事故の公表日を基準に算出しています 発生日が不明な場合は 事故が判明した日を基準に算出しています 1

平成 25 年度事故発生件数 個人情報漏えい件数 平成 25 年度は 172 件の個人情報の漏えい事故が発生 延べ 133,360 人の個人情報が漏えいしました 事故発生件数 172 件 平均すると事故 1 件あたり 約 775 人の 個人情報漏えい 個人情報漏えい件数 133,360 件 2

事故発生件数 個人情報漏えい件数過去 9 カ年の推移 毎年 200 件前後の個人情報漏えい事故が発生しています 個人情報漏えい件数は 年度によってばらつきがあります 300 事故発生件数 135,951 個人情報漏えい件数 133,360 150,000 250 234 238 125,000 200 150 97,110 151 148 83,363 174 164 75,770 144 172 172 100,000 75,000 100 44,603 50,423 50,312 50,000 50 31,743 25,000 0 平成 17 年度 18 年度 19 年度 20 年度 21 年度 22 年度 23 年度 24 年度 25 年度 0 3

平成 25 年度個人情報漏えい件数別事故発生件数 80 70 1 人の個人情報が漏えいしたものから 1,000 人以上の個人情報が漏えいしたものまで さまざまな情報漏えい事故が発生しています 事故発生件数 67 60 50 40 40 30 20 10 11 12 8 13 21 0 1~10 人未満 10~50 人未満 50~100 人未満 100~500 人未満 500~1,000 人未満 1,000 人以上不明 4

平成 25 年度漏えい件数別 学校種別事故発生件数 30 25 先生が取り扱う個人情報の件数は 学校種ごとに特徴があります 先生が持つ情報量の違いが 漏えい件数にも影響しています 28 小学校中学校高等学校大学その他 20 15 10 5 0 16 10 8 5 4 4 3 2 2 2 2 2 1 13 12 10 10 7 7 4 4 3 3 2 2 1 1 1 1 1 1 0 0 0 1~10 人未満 10~50 人未満 50~100 人未満 100~500 人未満 500~1,000 人未満 1,000 人以上不明 特徴 クラス単位の事故など ( 小学校で多発 ) 主に学年 学校単位の事故など 大規模な事故は主に大学で発生 5

平成 25 年度月別事故発生件数 年度始めや学期末 成績処理の時期は 事故がやや多く発生 2 月は同じ区内の 8 つの学校で 一挙に事故が判明しました 平均すると 1 カ月あたり 30 約 14.3 件の 25 月別事故発生件数 平均 14.3 件 24 事故が発生 20 15 10 19 11 10 16 11 14 7 16 17 15 12 5 0 主な学校行事 4 月 2013 年 年度始め 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2014 年 成学績期処末理 夏休み 成学績期処末理 入学試験 2 月 3 月 成学績期処末理 6

月別事故発生件数過去 4 カ年の比較 学期末 成績処理の時期には事故がやや多く発生する傾向があります 毎年 6 月から 7 月にかけて事故発生件数が増加しています 30 25 平成 25 年度平成 24 年度平成 23 年度平成 22 年度 24 20 15 10 19 11 10 16 11 14 7 16 17 15 12 5 0 主な学校行事 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2 月 3 月 年度始め 成学績期処末理 夏休み 成学績期処末理 入学試験 成学績期処末理 7

平成 25 年度発生場所別事故発生比率 学校内で発生した事故と学校外で発生した事故の件数に大きな差はありません 紛失 置き忘れ 誤廃棄など 不正な情報持ち出し 車上荒らし ひったくり 紛失 置き忘れなど 不明 35% 学校外 30% 学校内 35% 管理ミス 設定ミス 誤操作 学校内 学校外 両方の対策を講じる必要があります 学校侵入による盗難 など 8

平成 25 年度種類別事故発生比率 書類や USB メモリ パソコンなどの 管理ミス 不正な情報持ち出し 紛失 置き忘れ 盗難 が全体の約 90% を占めています 誤操作 1.7% 内部犯罪 内部不正行為不正アクセス 0.6% 1.7% 設定ミス 7.6% 盗難 9.3% 紛失 置き忘れ 19.8% 不明 0.6% 管理ミス 33.7% 不正な情報持ち出し 25.0% 傾向 上位 4 種類による事故が 約 90 % 一般企業と比較すると盗難 不正な情報の持ち出しが多く 誤操作が極端に少ないといえます (P18 参照 ) 事故の分類については P16-P17 に記載しています 9

平成 25 年度種類別事故発生比率 ( 盗難 詳細内訳 ) 車上荒らしや置き引き 学校侵入など 盗難の手口はさまざまです 盗難 - ひったくり 6% 盗難 - 不明 13% 盗難 - 学校侵入 25% 盗難 - 車上荒らし 31% 盗難 - 置き引き 25% 個人情報を校外へ持ち出す場合と 学校内で管理する場合 両方の対策が必要です 10

種類別事故発生比率過去 5 カ年の比較 経年で見ても 管理ミス 不正な情報持ち出し 紛失 置き忘れ 盗難 が多く発生しています 前年度と比較して 平成 25 年度は 紛失 置き忘れ 設定ミス の発生比率がやや高く 盗難 の発生比率がやや低い結果となりました 100% 90% 80% 70% 60% 50% 40% 30% 20% その他不明ワーム ウィルス目的外使用内部犯罪 内部不正行為不正アクセス誤操作設定ミス盗難紛失 置き忘れ不正な情報持ち出し管理ミス 10% 0% 平成 21 年度平成 22 年度平成 23 年度平成 24 年度平成 25 年度 事故の分類については P16-P17 に記載しています 11

平成 25 年度漏えい媒体別事故発生比率 漏えいした媒体別では 書類と USB メモリが大半を占めます 電子メール 1.7% SD カード 2.3% パソコン本体 4.5% 外付けハードディスク 1.1% インターネット 10.2% USB メモリ 34.5% 不明 0.6% その他 1.1% 書類 44.1% 書類と USB メモリによる事故が 約 80 % 1 件の事故で複数の媒体から漏えいした場合は 漏えいしたすべての媒体の件数を加えています 12

平成 25 年度漏えい媒体別個人情報漏えい件数 USB メモリからは約 70,000 件の個人情報が漏えいしました 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 USB メモリ 68,911 インターネット 外付けハードディスク 49,948 47,029 書類 パソコン本体 7,781 6,693 上位 3 媒体で 電子メール SDカード不明 238 144 93 上位 3 つは電子媒体 不適切な取り扱いにより 大きな被害が発生しています 約 166,000 件の 個人情報漏えい その他 18 個人情報漏えい件数 1 件の事故で複数の媒体から漏えいした場合は すべての媒体に含まれていた個人情報件数を加えています 13

平成 25 年度成績情報が含まれていた事故の割合 情報漏えい事故の約 6 割が 成績情報を含むものでした 参考 : 情報の価値 成績情報を含まないまたは不明 42% 成績情報を含む 58% 1 人分の成績情報 =3 万 3,000 円 (JNSA2010 年情報セキュリティインシデントに関する調査報告書の想定損害賠償額算定式より ) 平成 25 年度の成績情報漏えい数 約 75,000 件 賠償額に換算すると約 25 億円 成績の情報は非常にデリケートな情報であり 漏えいが発生した場合に児童 生徒 保護者に与えてしまう影響は多大なものとなります 先生が校務作業で取り扱う機会も多いため 細心の注意を払う必要があります 14

情報漏えい事故の発生状況まとめ 学期末 成績処理の時期には事故が多発する傾向があります 漏えい経路の大半は書類と USB メモリで 事故発生件数の約 80% を占めています 事故の種類は 管理ミス 不正な情報持ち出し 紛失 置き忘れ 盗難 が全体の約 90% を占めています 事故が発生しやすい時期や媒体 原因を把握した上で 効果的な対策を取りましょう 15

補足 : 事故の種類分類名の解説 (1) 本資料では 情報セキュリティ事故の種類を次のように分類しています 事故の種類不正な情報持ち出し盗難管理ミス紛失 置き忘れ どのような事故か 業務上の必要性などからルールを逸脱して情報を持ち出した結果 情報漏えいした場合 ルールを逸脱して持ち帰った結果 盗難にあったり ファイル交換ソフトで漏えいした場合も 不正な情報持ち出しに分類する 第三者によって情報記録媒体 (USB メモリ パソコンなど ) と共に情報が盗まれた場合 車上荒らし 学校侵入による窃盗など 保存された情報のみを盗難された場合は 不正アクセスに分類する 学校内 組織内での取り扱いが不適切だったため 紛失や行方不明となった場合 作業手順の誤りや 情報の公開 管理ルールが明確化されていなかったために業務上において漏えいした事故 原因が学校 組織の管理体制にある 管理ミスによって盗難が発生した場合は盗難に分類する 校内において 管理が行き届かずに誤って廃棄した場合も含む 持ち出し許可を得た情報を 持ち出し先や移動中に置き忘れたり 紛失した場合 個人の管理ミスによって発生した場合 校内で管理すべき情報を紛失した場合は 管理ミスに分類する 16

補足 : 事故の種類分類名の解説 (2) 設定ミス 誤操作 事故の種類 不正アクセス 内部犯罪 内部不正行為 ワーム ウィルス バグ セキュリティーホール 目的外使用 その他 不明 どのような事故か ユーザが Web サーバやファイルのアクセス権などの設定を誤ったことによって情報漏えいした場合 あて先を間違えたり 操作ボタンを間違えて押したりするなどの 人間の作業 行動によって情報漏えいした場合 外部の第三者が 主にネットワークを経由して不正にアクセスを行い 情報漏えいした場合 内部の人間の不正アクセスの場合は 内部犯罪 内部不正行為に分類する 内部の人間が 不正アクセス その他不正な行為によって情報を持ち出し 悪用した場合 ウィルス ワームによって 情報が漏えいした場合 OS やアプリケーション等の既存のソフトウェア上のバグ セキュリティホールが原因で情報が漏えいした場合 個人情報を当初の目的以外の用途に使用した場合 開示範囲外を超えて公開した場合 上記のいずれにも該当しないもの 原因が不明のもの 17

参考 : 企業における個人情報漏えいインシデント 1 出典 :NPO 日本ネットワークセキュリティ協会セキュリティ被害調査 WG JNSA 2013 年度活動報告会 2013 年情報セキュリティインシデントに関する調査報告 ~ 個人情報漏えい編 ~ 18

参考 : 企業における個人情報漏えいインシデント 2 出典 :NPO 日本ネットワークセキュリティ協会セキュリティ被害調査 WG JNSA 2013 年度活動報告会 2013 年情報セキュリティインシデントに関する調査報告 ~ 個人情報漏えい編 ~ 19

本資料の利用について 本資料は 学校内での啓発活動 研修会などでご利用いただけます 資料の利用を希望される方は 利用条件をご確認の上 ISEN 事務局までご連絡ください ISEN 事務局 153-0061 東京都目黒区中目黒 1-8-8 目黒 F2 ビル 1 階 ( 株式会社 JMC 内 ) TEL:03-6890-8716 mail:pm@jmc.ne.jp 利用条件 http://school-security.jp/pdf/contents_rule.pdf お問い合わせフォーム https://fs220.xbit.jp/y592/form3/ https://fs220.xbit.jp/y592/form5/ 20