早稲田大学で、学内専用の「イントラネット」の内部において、在学生や卒業生など関係者35万人分の氏名とメールアドレスの一覧が、(システムに入れる人であればだれにでも)閲覧可能な状態で掲載されていたことが判明した、との報道がありました。
幸い、これに起因して学外への情報漏洩や、それに基づく悪用などの事実は確認されていないとのこと。
原因は(こうしたシステム、昨今では業者丸投げで作らせることが大半ですが、そうした)2020年のシステム変更時、特段の考えなしに登録者の名前とメールアドレスが閲覧できる仕様になっていた。
大学側の関係者(一般に事務職員諸氏はシステム関連に弱いのが普通ですから)はそれに全く気づかず、「セキュリティホール」が開いたままになっていたらしい。
今年5月3日、学生か研究者か、ともかくこのシステムを使える早稲田ユーザーの指摘で問題が発覚。
大学側は慌てて対処したのでしょう、5月9日にシステム設定を変更、国の個人情報保護委員会と文科省に報告し「今後セキュリティ強化に向けた取り組みを進める」と謝罪したというのです。
多分、新規な「取り組み」よりは、大学内部の職員、教員また学生の「リテラシー」、システムに関係する人の意識を根本的に改善するのが本道というべきでしょう。
オーソドックスな教育の徹底、新規性より基本の点検が第一のように思われます。
とはいえ、40歳を回った管理職諸氏に「セキュリティ初級」などといっても、実効性は覚束ないかもしれません。
では、どんな対策が可能なのか?
本稿末には、具体的な再発防止策も記すことにして、問題の1の1から、検討してみたいと思います。