エンジニアの活動日記

ネットワークエンジニアによるIT関連のブログです。ほどほどに生きています。

佐賀県教育システムの情報漏えいについて

www.nikkei.com

遅くなってしまいましたが、佐賀県の教育システムの情報漏えいの件です。6月に報じられたこのトラブルは、16歳の少年による犯行という点が非常に話題になりました。多くの方の関心を呼んだようで、ブログやまとめが作成されていたので参考に読ませていただきました。

佐賀県教育ネットワークの不正アクセスに関わる私的まとめ · GitHub

その上で私なりにこの件について考えてみましたが、この件の最大の問題は

「運用も含めたシステムの仕様」

だったのではないかな、と感じました。

このシステムを発注した佐賀県教育委員会の中に個人情報を扱うシステムの経験がある方がおらず、業者の出してきた不十分な仕様そのままに構築・運用してしまったのではないでしょうか。

教育委員会は警察から連絡を受けるまで情報漏えいには気づかなかったようですが、通常このようなシステムであれば常に不正アクセスの検知を行い、問題があれば即座に原因を特定して対策を取るのが当然ですからね。今回は原因を特定せず場当たり的な対応だけで済ませた結果、繰り返し情報漏えいが起こってしまったようです。

今回この犯行を行った少年たちは当然しかるべき裁きを受けるべきですが、この問題の多いシステムを構築した教育委員会らの責任が非常に大きいと思います。生徒の個人情報を取り扱うことへの責任感の欠如ですね。

ベネッセにも例がありますが、民間企業で同様の問題が発生したら、顧客離れからの業績悪化で株価も下がり、経営陣は責任を取って辞任することになるでしょう。

ベネッセ、深刻な会員減で格下げの追い打ち&債務不履行リスク増…起死回生の一大計画始動 | ビジネスジャーナル

個人情報が漏れてしまった生徒たちへの賠償等も当然すべきで、責任者の辞任も当然かと思いますが、どうも責任逃れの対応に終始しているようですね。

今後このようなことが起こらないためにも、

  1. 第三者委員会できちんと総括を行う
  2. 学校のシステムはよりセキュリティの高いものにすること
  3. 子供たちへの啓蒙(このような犯行に及ぶのではなく、今後需要が高まると言われているセキュリティ技術者になるための能力を伸ばす方向に導く)

ことが大事だと思います。

どのような分野でもIT化は世界的な流れですから、個人も組織もそれをうまく使いこなしてより良い世界を作ることが出来るといいですね。