東海大学、ランサムウェア被害を報告 19万人超の個人情報が漏えい：セキュリティニュースアラート

東海大学は委託先でランサムウェア被害が発生し、19万3118人の個人情報が漏えいした発表した。委託先のルール外のデータ持ち出しや大学の管理不足が原因だと報告されている。

[ITmedia エンタープライズ編集部]

　東海大学は2026年2月18日、業務委託先サーバへの不正アクセスに関する調査結果を公表し、最大延べ19万3118人分の個人情報が漏えいしたと発表した。現時点で学内ネットワークへの直接侵入は確認されておらず、情報の不正使用も把握していないとしている。

委託先企業がデータを外部に持ち出し　脆弱な運用が被害の原因か

　本件は、業務委託先である東海ソフト開発のサーバがランサムウェア攻撃を受けたことで発生した。攻撃者は委託先ネットワークに接続するための認証情報を不正取得し侵入したと報告された。大学は委託先と専門機関の協力を得て被害状況の確認と拡大防止策を進めてきた。2026年2月3日付で委託先から調査報告書が提出され、被害の詳細が確定した。

　大学によると、本来は構内作業や大学環境への接続に限定すべき業務であったが、委託先社内にデータを持ち出す運用が実施されていた。大学側の管理体制も十分ではなかったとしている。

　漏えいが確認されたのは、2020年度から2025年度の学生7万6314人、同期間の保護者4万5810人、2024年度入学予定者5482人、役員・教職員4万9816人、業務システム利用権限を持つ関係者3004人、九州東海大学卒業生594人、付属高・中等部の在校生5283人、同卒業生6597人、付属八王子病院の健診受診者186人、個人取引先32人の情報とされる。

　漏えいしたのは氏名や性別、生年月日、住所、電話番号、学籍番号や教職員番号、メールアドレス、所属、役職などだ。対象によっては生徒番号や試験結果の一部、所見、患者番号、健診情報、金融機関口座情報などが含まれる場合がある。クレジットカード情報は含まれていない。

　大学は文部科学省や個人情報保護委員会、厚生労働省にも報告した。統合ID管理システムのパスワードは教職員、学生、保護者を対象に順次リセットし、付属校も実施中としている。また2026年2月17日から対象者への通知を開始し、連絡先不明者には公式サイトで公表する。専用コールセンターも設置した。

　再発防止策として、学内の情報管理体制見直し、責任体制の明確化、教職員研修の強化、アクセス管理の強化を実施する。委託契約の見直しや委託先への定期点検、監査も実施する。大学は信頼回復に努めるとしている。