クラウド誤共有で個人情報流出、近畿大の教訓

クラウド誤共有で個人情報流出、近畿大の教訓 インシデント対応

近畿大学薬学部で、教員がGoogleドライブのファイル保存先を誤り、学生249人分の個人情報が意図せず学生から閲覧できる状態になっていたことが公表されました。原因は外部からの攻撃ではなく、「個人用フォルダと同名の共有フォルダ」に取り違えて保存したという、どの組織でも起こりうる操作ミスです。しかも共有状態は4月6日から6月上旬まで、最大約2.5カ月間気づかれませんでした。クラウドストレージを全社導入している情シスにとって、他人事ではない事例です。

この記事でわかること

  • 今回のインシデントで「何が・どうして」起きたのか
  • クラウド誤共有が外部攻撃より厄介になりうる理由
  • 情シスが取るべき「防止」と「早期発見」の勘所

何が起きたのか

近畿大学の公表(2026年6月)と報道によると、経緯は次の通りです。薬学総合研究所の教員がGoogleドライブ上で、本来は個人用フォルダに保存すべき3つのファイルを、同名の共有フォルダに誤って保存。その結果、ゼミの学生11人が閲覧可能な状態になりました。

流出した情報と対象人数

ファイル 対象 主な情報
ファイル① 薬学部1年生 249人 氏名・学籍番号・性別・入試種別・受験番号・合格点・出身高校・評定、保証人の氏名や住所・電話番号など
ファイル② 薬学部1年生 213人 プレイスメントテスト結果
ファイル③ ゼミの学生 11人 氏名・学籍番号・性別・メールアドレス・テスト結果・入試種別・出身高校

発覚までの時系列

  • 4月6日:教員が保存先を誤り、共有状態が発生
  • 6月8日:学生2人が共有に気づく
  • 6月9日:学生が学生センターに報告
  • 6月10日・24日:対象ファイルを順次削除
  • 6月25日まで:対象学生と保証人へ通知・謝罪

大学は「現在までに本件による二次被害の報告はない」としています。ファイル①(最も機微な保証人情報を含む)は学生による閲覧・ダウンロードはなかった一方、ファイル②③は複数の学生が閲覧していました。

なぜクラウド誤共有は厄介なのか

今回の本質は、脆弱性でもマルウェアでもなく「日常操作の取り違え」です。だからこそ情シスにとって難しい面があります。

  • 正規ユーザーの正規操作なので、不正アクセスの検知ロジックには引っかかりにくい。
  • 気づかれにくい。攻撃なら痕跡やアラートが出ることもありますが、誤共有は「見える人が黙っていれば」発覚しません。実際、今回も発覚まで約2.5カ月かかっています。
  • 共有範囲が広がりやすい。「リンクを知っている全員」「組織内全員」といった設定を選ぶと、意図の何倍もの範囲に届きます。

「同名フォルダへの取り違え」という、聞けば単純なミスが、機微な個人情報の数カ月間の露出につながる。ここにクラウド運用の落とし穴があります。

現場目線の課題

正直なところ、情シスから見ると「誰が・いつ・どのフォルダに・どの共有範囲で保存したか」を全社員分リアルタイムで追うのは現実的ではありません。クラウドストレージは利便性が高い反面、共有設定の最終判断が現場のユーザーに委ねられているのが実態です。管理者が一括で「外部共有を全面禁止」にできればよいですが、業務上の共有ニーズと衝突し、なかなか振り切れないのが多くの現場の悩みどころでしょう。

そしてもう一つ痛いのが、発見が「利用者の気づき」頼みだった点です。今回たまたま学生が気づいて報告してくれましたが、誰も気づかなければ露出はさらに続いていた可能性があります。防止策と同じくらい「早期に気づく仕組み」が重要だと、この事例は物語っています。

情シスはどうすべきか

網羅的なチェックリストを自前で抱えるより、まずは公的機関の指針を土台にするのが近道です。中小規模の組織であれば、IPAの中小企業の情報セキュリティ対策ガイドラインが、クラウド利用時の管理の考え方まで含めて実務的にまとまっています。技術対策に加えて、次の観点を組み合わせると効果的です。

  • 共有設定の既定を絞る:外部共有・リンク共有の既定を制限し、機微データの保存場所を分離する。
  • 可視化と点検:管理コンソールの共有レポートやアクセスログを定期点検し、想定外の広域共有を洗い出す。
  • ユーザー教育:「個人用と共有の取り違え」という具体的な失敗パターンを研修に盛り込む。近畿大学も再発防止策として、クラウド利用時の確認徹底とセキュリティ研修強化を挙げています。

特に、地道なユーザー向けの啓発(対策のしおり)は、こうした「うっかり」型のインシデントに直接効きます。ツールの設定だけでは、人の操作ミスは完全には防げないからです。

まとめ

  • 近畿大学の事案は、Googleドライブの保存先取り違えという日常的な操作ミスで、学生249人分の個人情報が約2.5カ月間閲覧可能になったもの。攻撃ではなく設定・操作の問題です。
  • クラウド誤共有は正規操作ゆえに検知されにくく、発覚が遅れやすい。防止だけでなく「早期発見の仕組み」が要になります。
  • 情シスは、共有設定の既定制限・共有レポートの定期点検・具体的な失敗例を含む研修を組み合わせ、IPAの公的指針を土台に運用を整えるのが現実的です。

出典

タイトルとURLをコピーしました