東海大学、業務委託先への不正アクセスについて調査結果発表、学生ら最大19万人超の個人情報漏えいが判明

　学校法人東海大学は2月18日、2025年11月に発生した業務委託先サーバーへの不正アクセスに関する発表の第2報として、情報漏えいに関する調査結果と、被害拡大防止などのために行った対応について発表した。

　ネットワークシステムの保守・管理などを委託していた株式会社東海ソフト開発が管理・運営するサーバーが外部からの不正アクセスを受け、ランサムウェアによる被害を受けたとして、同法人は2025年11月14日に第1報を発表していた。

　個人情報漏えいの可能性に関する調査の結果、個人情報の漏えいが確認された。確認された内容は、2020年度〜2025年度の東海大学学生7万6314人の個人情報（氏名、性別、生年月日、住所、電話番号、学籍番号、学校のシステムを利用するためのID・パスワード、メールアドレスなど）など、のべ人数にして最大で19万3118人分。

　本来の委託先業務では、東海大学構内で作業を行う、または、同法人へ接続して作業を行うルールとなっていたが、委託先社内へデータを持ち帰っていたなどルールと異なる対応があり、個人情報が委託先に存在していた。そのため、委託先が攻撃を受けたことにより個人情報が漏えいすることになった。また、同法人においても、個人情報の安全管理が徹底されていなかったとしている。

流出した個人情報

　対応としては、関係組織への報告や情報の公表、対象者への通知、問い合わせ窓口の開設のほか、業務システム「統合ID管理システム」のパスワード一括リセットを行った。また、再発防止策として、次の点を挙げている。

学校法人内における個人情報管理の徹底

• 情報セキュリティ体制を見直し、責任者や組織的な情報管理の詳細なルールの策定
• 教職員を対象とした情報セキュリティ及び個人情報保護に関する研修・訓練の強化
• 法人内ネットワークへのアクセス管理の強化の実施、継続したシステム面の改善

業務委託先における個人情報管理の徹底

• 業務委託契約書を見直し、業務委託先における個人情報の安全管理措置などをより明文化
• 委託先に対し定期的な自己点検・報告の実施の要請、関係法令および公的ガイドラインに則した安全管理措置の実施状況の精査
• 委託先のネットワークへのアクセス管理の強化など、システム面での見直しの要請