学内向けクラウドで学生情報が閲覧可能に、権限設定ミスで - 京都府立大

京都府立大学は、学生の個人情報含むファイルが、関係者以外の教職員や学生から閲覧できる状態だったことを明らかにした。共有フォルダの設定ミスが原因だという。

同大によれば、学内で使用するMicrosoft Teamsの共有フォルダにおいて閲覧権限の設定にミスがあったもの。個人情報を含むファイルに対し、本来指定した関係者のみ閲覧権限を付与するところ、学内の教職員や学生がアクセスできる状態だった。

2025年1月7日に学生から指摘があり問題が発覚。対象となるのは、留学に関する奨学金申請書類、海外へのスタディツアー参加者名簿など69件で、そのうちファイル17件については8人の学生が閲覧していた。

問題の発覚を受けて、同大では閲覧できないようTeams上にあるすべてのフォルダについて設定の見直しを実施。閲覧した学生8人に対し、ファイルのダウンロードや学外への持ち出しがないことを確認した。

今回の問題を受け、同大では教職員や学生がTeamsを利用する際、特定メンバーのみアクセスできる設定に限定し、関係者以外がアクセスできないよう対策を講じた。また個人情報の保存については原則禁止するとしている。

またアクセス設定にともなうファイル公開などのリスクについて周知されていなかったとし、個人情報を取り扱う場合などの注意点など周知徹底を図り、再発防止を図るとしている。

（Security NEXT - 2025/02/18 ）ツイート