学生・教職員4万人の個人情報が半年間閲覧可能状態に

　京大で、昨年6月から半年間にわたって全ての学生・教職員の氏名・学内メールアドレス・ECS-IDとそのパスワードが外部から閲覧可能な状態になっていたことが明らかになりました。1月19日付の報道によると、昨年6月に学内の情報システムを外部の業者が改修した際に個人情報へのアクセス制限をかけ忘れ、京大のシステム担当者もチェックを怠ったために今年1月4日に大学職員が発見するまでの半年間外部から閲覧可能な状態であったとのことです。

　数多くの学生や教職員の個人情報を危険に晒したことについて京大当局は非難されるべきですが、それ以上に許し難いのは被害者である学生に対するあまりにも粗雑な対応です。

　当局は1月18日までに全学生・教職員にパスワードの変更を求めるメールを送ったとしていますが、学生の中でも受信時間に相当のばらつきがあり、多くの学生がメールではなく他の学生から間接的にインシデントの存在を知ったことが明らかになっています。のみならず、「機密性2情報」などと銘打たれた当該メールでは、パスワード変更について「ご利用者の皆様にはお手数をおかけすることになり誠に申し訳ありません」としながらインシデントそのものに対する謝罪は一言も添えられておらず、極めつけに学生に対して「本メール内容を京都大学の構成員以外にお伝えすることは、お控えください。特にSNS等へ掲載しないでください。」と執拗に念を押すという、反省の意も見られない高圧的なものでした。特に構成員以外への情報拡散の禁止について、メール上では「未変更の教職員・学生等の情報セキュリティの安全を確保するため」としていますが、一方で産経新聞の取材に対してはメールとほぼ同様の内容を明らかにしており、翌日の午前中にはその記事がネット上で発表されています。

　常識的に考えてメール送信から僅か一日未満で学生・教職員4万人が全員パスワードを変更しているわけがありません。このことから「未変更の教職員・学生等の情報セキュリティの安全性」などそもそも念頭になく、当局がメールで学生に圧力をかけていた理由は不祥事が外部に明らかになることを防ぐためであったと考えられます。京大当局は学生・教職員の個人情報管理を徹底し再発防止策を講じるとともに、インシデントについて学生に対する実質的な箝口令を敷きながらメディアを通じて公表したことの整合性を説明すべきです。

（調査報道部）

　新たに情報環境機構よりパスワード変更を求めるメールが送られています。相変わらずインシデントそのものへの謝罪はないどころか、「パスワードを変更いただけない場合、ECS-IDを用いてログインするサービスの利用を制限する」などと居丈高に学生側に要求しています。まず学生に対する謝罪と丁寧な説明をすべきです。