学内でアカウント持ってたら誰でも見れた——流通科学大クラウド設定ミス
流通科学大学において、クラウドサービスの設定ミスにより学生の個人情報が含まれるファイルが、本来閲覧権限のない学内関係者からも閲覧可能な状態となっていたことが2026年2月16日に明らかになりました。特定の教職員のみで共有すべき機密情報が、学内でアカウントを持つ学生や教職員であれば誰でもアクセスできる状況は、現代の教育機関が直面するデジタル管理の課題を浮き彫りにしています。
発覚の経緯と被害の詳細
問題が発覚したのは2026年1月20日とのことです。流通科学大学が利用するクラウドサービスにおいて、ファイルの公開範囲設定にミスが生じていたことが判明しました。
影響を受けたファイルには学生の個人情報が含まれており、本来であれば特定の教職員のみがアクセス可能であるべき機密情報でした。しかし、設定ミスにより、学内においてアカウントを保持する学生や教職員であれば、対象者でなくとも閲覧できる状態となっていたとのことです。
大学側の対応と報告
問題の判明を受けて、流通科学大学では即座に対応に着手しました。まず、特定の教職員以外が閲覧できないようにクラウドサービスの設定を修正したとのことです。
また、同大学は文部科学省と個人情報保護委員会への報告を実施。さらに、個人情報が含まれていた対象となる学生に対しては、メールで経緯を報告し謝罪を行ったと報じられています。
クラウドサービスの権限設定リスク
今回の事案は、クラウドサービス利用時の権限設定の複雑さを示しています。一般的に、クラウドサービスでは「組織内共有」「特定ユーザー共有」「パブリック公開」など複数の共有レベルが存在し、設定を間違えると意図しない範囲での情報共有が発生する可能性があります。
特に教育機関では、学生と教職員が同じドメインでアカウントを持つケースが多く、「組織内共有」設定では学生も含めた全アカウント保持者がアクセス可能になってしまう構造的リスクが存在します。
教育機関のデジタル情報管理課題
今回の流通科学大学の事案は、教育機関特有のデジタル情報管理の課題を浮き彫りにしています。学生の個人情報は要配慮個人情報に該当する場合も多く、厳格な管理が求められる一方で、教育現場では日常的に多くの教職員がこれらの情報にアクセスする必要があります。
クラウドサービスの利便性を活用しながら、適切な権限管理を実現するためには、定期的な設定確認と、利用者への継続的な教育が不可欠とされています。また、機密度の高い情報については、より厳格なアクセス制御を実装することが推奨されています。
短期的影響:教育機関におけるクラウドサービス利用時の権限設定見直しが急務となる。特に学生と教職員が同一ドメインを使用する環境では、組織内共有設定のリスクが顕在化しており、各機関での緊急点検が必要な状況。
中長期的影響:教育機関のデジタル情報管理体制の抜本的見直しが進むと予想される。クラウドサービス利用における権限管理の標準化、定期監査の制度化、そして情報セキュリティ教育の強化が業界全体の課題となる。
読者への示唆:自組織でクラウドサービスを利用している場合は、ファイル共有設定の緊急点検を実施し、機密情報が意図しない範囲で共有されていないか確認することが重要。また、定期的な権限設定監査の仕組み構築を検討すべき。
