佐賀県県立6高校の生徒成績表が漏えい、拡散の恐れ… 何が、誰が悪い?!
佐賀県教育委員会の教育情報システム「SEI-Net」が不正アクセスを受け、少なくとも県立高校6校での職員、生徒および保護者の住所、氏名等個人情報のみならず、生徒の成績まで漏えいしていることが発覚しました。不正アクセスを行ったのは、17歳の少年とみられ、先に有料放送を不正視聴するためのプログラムをインターネット上で公開したとして逮捕されており、その捜査の段階で発覚したのです。
昨今、JTBの顧客情報や講談社の読者情報等、情報漏えいとなった事件が引き続いてますが、今回の事件では、それらと比べ物になりません。その理由は、JTB等が個人情報とはいえ、住所、氏名、生年月日等の基本個人情報と呼ばれる情報であり、必ずしも機微な個人情報に触れるものではありません。詳細な購入履歴等が含まれればその限りではないでしょう。しかし、今回の佐賀県教育委員会の情報漏えいは、基本個人情報だけでなく、生徒の成績という、極めて機微なプライバシーに関わる情報です。漏えい内容から言えば、JTBの情報漏えいと比べ物にならないと言えるのではないでしょうか。もう一点は、その拡散状況です。JTB等の漏えい情報もどの程度拡散しているか未定ですが、今回の佐賀県教育委員会の漏えい情報は、少なくともその17歳の少年を中心とした高校生グループ数人と共有としていた言われています。多感で虚栄心も高いであろう高校生が得られたその情報を秘密にしている可能性は低いのではないでしょうか。さらに拡散している可能性が高いでしょう。
では、そのような大きな被害となりえる今回の事件、何が原因なのでしょう。もちろん、直接的に不正アクセスを行った17歳の少年が第一に責められるべきですが、彼だけに成しえることができた犯罪とは考えられません。一部の報道では、「ネットワークやパソコンにおける高い知識を利用して不正アクセスを行った」とありますが、必ずしも高い知識や技術を持ち得てたかは疑問です。本人は、「不正アクセスを行うシステムを自前で開発した」と主張しているようですが、不正アクセスに関する情報やツールはネットや雑誌に詳細に紹介されています。それを単に利用しただけという、いわゆるスクリプトキディである可能性も捨てきれません。
そうであるならば、簡単に不正アクセスを成功に導いた佐賀県教育委員会の教育情報システムに原因があったと言えます。今まで報道されている内容から、17歳の少年は、取り巻きの高校生から利用可能なIDとパスワードを入手し、無線LANでつながれた学校の近傍に移動して、そのIDとパスワードからシステムに侵入し、システムの脆弱性(欠点)をツール等で探し出して、それを利用して、成績等の大量の個人情報を入手したものと考えられます。
泥棒が悪いのは当然ですが、他人の貴重な品物(生徒の成績を含む個人情報)を盗っていって下さいとばかりに公に陳列する行為は褒められたものではありません。言い過ぎなところはありますが、それだけ重要な情報を管理しているという意識が根付いていたかは大いに疑問となるところです。