学生の成績など300件、学内で2年以上“丸裸”だった 琉球大が謝罪、「Microsoft Teams」の設定ミス

[ITmedia]

　在学生の成績や大学院入試の問題など約300件が学内で閲覧できる状態だったとして、琉球大学は1月31日までに謝罪した。学内に導入したクラウドサービス「Microsoft Teams」の設定ミスが原因だった。「個人情報が不正に使用された事実や学外への漏えいは確認されていない」という。

琉球大医学部の校舎（出典：公式Webサイト）

　閲覧できる状態だったのは、大学関係者が参加した会議の要旨や大学院入試の問題など304件。このうち、個人情報（氏名、メールアドレス、成績情報など）が含まれるファイルは273件あり、在学生（436人）や職員（67人）など901人分の個人情報が記載されていたという。

　Teamsを導入した2020年4月から2年以上、全大学関係者に付与した専用アカウントを使えば、誰でも閲覧できる状態だった。22年10月に学生からの指摘で発覚した。調査の結果、パスワードを設定していなかった上、データの公開範囲を「プライベート」にするべきところを、「パブリック」に設定していたことが分かった。

クラウド上で資料などを共有できる

Web会議も利用できる（出典：Microsoft公式Webサイト）

　他にも、学部学生のレポートや一部の大学院入試の採点表、ある年度の一部学生のGPA（成績平均値）などが公開されていたことも大学側の調査で判明している。大学院入試の試験問題も閲覧できる状態だったが「不正に使用された事実は確認できなかった」として「合否判定については変更しない」という。

　22年10月の発覚後、公表が1月となったが、琉球大は「Teams上の全てのファイルを調査したり、該当者に謝罪する準備をする必要があった」と釈明した。

　「このような事態を招き、関係する皆さまに、ご迷惑とご心配をおかけしたことを深くお詫び申し上げる。今回の事態を受け、情報管理の一層の強化を図り、再発防止に全力で取り組む」（琉球大）