公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・インシデントの原因となったMicrosoft Teamsの機能
・コミュニケーションツール利用時のセキュリティ観点
今回の解説ニュース
コミュニケーションツールの設定ミスで、個人情報が漏洩してしまったということです。インシデントの原因となったMicrosoft Teamsの機能と、コミュニケーションツールを使う際にセキュリティの観点で気を付けるべきポイントについて説明します。
今回のインシデントは、教諭がMicrosoft Teamsにアップロードした生徒等67名分の個人情報が、他校でも閲覧できる状態となっていたというものです。原因として、教職員及び生徒共有のアカウントで、Microsoft Teamsにて公開範囲が「パブリック」となっているチームに生徒指導に関する教員の会議で使用するデータをアップロードしたことが挙げられています。他校の生徒から、教職員及び生徒共有のアカウントで個人情報が閲覧できることについて連絡があり、発覚しました。
対策として、校長がデータを削除しています。また、全生徒に事実の説明と謝罪を行い、対象となる保護者等に家庭訪問等で内容の説明と謝罪を実施しています。再発防止策として、Microsoft Teamsに関する研修等の実施、自己点検票による周知徹底、公開範囲を「プライベート」にするよう周知徹底、また定期的に点検確認を行うということです。
インシデントの原因となったMicrosoft Teamsの機能
インシデントの原因となった機能として、Microsoft Teamsで使われていた共有アカウントと、公開範囲の設定が挙げられます。
まず、インシデントの原因として、コミュニケーションツールにログインする際に、教職員及び生徒共有のアカウントを使用していたことが挙げられます。共有アカウントのチャネル、会話、ファイルは、そのアカウントを共有するユーザ間でも共有されてしまうことになりますので、共有アカウントで個人情報を取り扱うべきではありません。
また、Microsoft Teamsで公開範囲をパブリックにしている場合、チームメンバーは、チーム内のすべてのチャネル、会話、ファイルにアクセスすることができます。もし、ゲストユーザーのアクセス許可を設定している場合は、ゲストユーザーもチーム内のチャネル、会話、ファイルにアクセスすることができます。一方で、公開範囲をプライベートにすると、チーム所有者が招待したユーザーのみ参加して、チーム内のチャネル、会話、ファイルにアクセスすることができるようになります。