Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

学内向けクラウドで学生情報が閲覧可能に、権限設定ミスで - 京都府立大

京都府立大学は、学生の個人情報含むファイルが、関係者以外の教職員や学生から閲覧できる状態だったことを明らかにした。共有フォルダの設定ミスが原因だという。

同大によれば、学内で使用するMicrosoft Teamsの共有フォルダにおいて閲覧権限の設定にミスがあったもの。個人情報を含むファイルに対し、本来指定した関係者のみ閲覧権限を付与するところ、学内の教職員や学生がアクセスできる状態だった。

2025年1月7日に学生から指摘があり問題が発覚。対象となるのは、留学に関する奨学金申請書類、海外へのスタディツアー参加者名簿など69件で、そのうちファイル17件については8人の学生が閲覧していた。

問題の発覚を受けて、同大では閲覧できないようTeams上にあるすべてのフォルダについて設定の見直しを実施。閲覧した学生8人に対し、ファイルのダウンロードや学外への持ち出しがないことを確認した。

今回の問題を受け、同大では教職員や学生がTeamsを利用する際、特定メンバーのみアクセスできる設定に限定し、関係者以外がアクセスできないよう対策を講じた。また個人情報の保存については原則禁止するとしている。

またアクセス設定にともなうファイル公開などのリスクについて周知されていなかったとし、個人情報を取り扱う場合などの注意点など周知徹底を図り、再発防止を図るとしている。

(Security NEXT - 2025/02/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

フォーム設定ミスでイベント応募者情報が閲覧可能に - 岡山シーガルズ
プレゼント申請フォームで応募者情報が閲覧可能に - 伊予市
LINEオープンチャットで設定ミス、複数部外者が参加 - 人吉下球磨消防組合
フランチャイジー向けシステムで誤設定、改修時に発生 - 三菱UFJニコス
Teamsで設定ミス、個人情報含むファイルがチーム外から閲覧可能に - 芸工大
県立校向けグループウェア内で公開範囲ミス、個人情報が流出 - 三重県
情報連携ネットワークに患者情報を誤表示、設定ミスで - 大公大付属病院
フォームで設定ミス、学生の個人情報が閲覧可能に - 近大
施工現場のNASに設定ミス、情報が外部流出 - 大和ハウス工業
インターンシップ受入企業や高校生徒の個人情報が閲覧可能に - 群馬県