7月19日に記者発表を行った模様。
- ID取得に高校生関与=教育システム情報流出-佐賀:時事ドットコム http://www.jiji.com/jc/article?k=2016071900809&g=soc
- 流出情報、ほかに7人が共有 佐賀県教委が調査 - 共同通信 47NEWS http://this.kiji.is/128107989396848648
- 教育情報不正アクセス、7生徒が流出情報共有|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/335461
- 生徒ら高校に侵入、学校の対応面白がる|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/335476
- 佐賀の不正アクセス、高校生7人が関与 「興味本位」:朝日新聞デジタル http://www.asahi.com/articles/ASJ7M61NPJ7MTTHB01Q.html
相変わらず、公式発表はありません
佐賀県教育情報システムでの情報漏洩問題について(14) - NW屋的日常徒然日記 http://karasuma-kitaoji.hatenablog.com/entry/2016/07/19/231152
ほぼほぼ同意。
佐賀県の教育情報システム「SEI-NET」と校内LANへの不正アクセス事案についてまとめてみた - piyolog http://d.hatena.ne.jp/Kango/20160627/1467041904
概略図が更新。わかりやすい。
佐賀の情報漏洩 原因はセキュリティー以前の無関心 :日本経済新聞 http://www.nikkei.com/article/DGXMZO04975990Z10C16A7000000/
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/071400579/
漏洩の原因になったのは、学習管理の中の「メッセージ」機能の仕様にあった。生徒は教職員や他の生徒を指定して、メッセージを送れる。この送り先を指定する際に、自分が在籍する学校の全教職員・生徒の名簿を参照できる仕様になっていた。無職少年は生徒の正規のIDとパスワードでログインし、メッセージ機能で名簿を参照して個人情報を入手し、手元に保管していたようだ。
http://www.yomiuri.co.jp/local/saga/news/20160712-OYTNT50107.html?from=tw
この日、県庁を訪れた藤岡会長は「事件の発端は、昨年6月に不正接続を把握しながら、県教委が対策を講じなかったこと。原因は県教委の管理の甘さにある」と指摘。対応した源五郎丸靖・県教委教育総務課長は「被害の全容を確認中で、しかるべき形で明らかにしていきたい」とした。
不正アクセス聴取で、市民団体「生徒の人権守って」|佐賀新聞LiVE
http://www.saga-s.co.jp/news/saga/10101/333178
http://www.saga-s.co.jp/news/saga/10101/331774
事件では、県立学校9校で延べ1万5千人を超す生徒や教員らの個人情報が流出している。詳しい内容は現在、各学校で確認作業が続いている。
詳しい内容は現在、各学校で確認作業が続いている。
\詳しい内容は現在、各学校で確認作業が続いている。/
何が漏れたのかすらまだわかってないんですか。今回の件は2/15に連絡を受けて把握してるんですよね?
授業で必要なデジタル教材は、USBメモリなどで入れるほか、教材会社のサイトから取り込む場合もある。県教委によると、その際に、管理者用のログイン情報(IDとパスワード)を一時的に生徒のパソコンに与える仕組みになっていた。
あのvbsのことかな?
教育総務課は業者に、サーバーにアクセスできるパスワードを変更するよう指示。3月20日までに、各学校の教室内にあるサーバーのパスワードなど数千件が変更された。 だが、その後も不正アクセスは続いていた。警視庁からの連絡を受け、システムを調べ直すと、5月11〜13日にも不正アクセスされていた。
逮捕された少年が、管理者用のログイン情報を手に入れていたため、サーバーのパスワードを変更しても自由にアクセスできた、と県教委はみている。
管理者用のログイン情報を変更しなかったことについて源五郎丸靖・教育総務課長は「変えておくべきだった。何種類のパスワードがあるのか、正直全ては知らなかった。業者にお任せだった」と話す。
少年には、現役の高校生が自分のパスワードなどを教えたとされる。 県教委幹部は「ネットワークのセキュリティーは『性善説』で作られている。後ろから刺された形になってしまった」。
\ネットワークのセキュリティーは『性善説』で作られている/
\ネットワークのセキュリティーは『性善説』で作られている/
P.S. 7/2に送信した県政へのご意見への回答をいただきました。
http://www.nishinippon.co.jp/nnp/saga/article/257034
県教委や学校には5日までに「うちの子の情報は大丈夫か」と心配する保護者らから133件の相談や問い合わせがあった。
問い合わせはあったが、回答したとは言っていない。
県教委は、被害を食い止める機会も逃していた。
昨年6月。何者かの不正アクセスで、校内ネットワークのアクセス権限が変更されたことが判明。県教委は、情報流出の痕跡がなかったことから管理委託業者にパスワードを変更させただけで警察への通報も、内部協議もしなかった。
今年1月、別事件で押収された少年のパソコンから大量の個人情報を含むファイルが見つかる。県教委は2月、警視庁から情報流出の可能性とシステムの脆弱(ぜいじゃく)性を指摘されたが、生徒や教員のIDやパスワードを変更しただけで、5月には「少年にやり方を教えてもらった」と話す男子生徒(16)の不正侵入を許す。
県教委の担当者は「今考えると情報管理の認識が甘かった」と認める。
佐賀県:佐賀県プライバシーポリシー及び行動プログラム で、行動指針が定義されているんですが、運用できていなかったと。
(佐賀県法務私学課よりご回答頂き、「県教育委員会及び各県立学校でも個人情報を取り扱う場合は、プライバシーポリシーに基づき適切に取り扱う必要があります。」とのこと。
情報流出、県教育長「我々だけで検証は不可能」 (読売新聞) - Yahoo!ニュース http://headlines.yahoo.co.jp/hl?a=20160706-00050014-yom-soci
あれ、入札したんじゃなかったんですっけ?
インタビュー答える暇あるなら、公式の対応状況の発表をしてもらいたいものです。
http://www.mext.go.jp/b_menu/hakusho/nc/1374115.htm
個人情報の取扱いについては,従来から「『文部科学省所管事業分野における個人情報保護に関するガイドライン』の全部改正について(通知)」(平成27年8月31日27文科総第59号)及び事務連絡等により適正な取扱いをお願いしているところです。
こうした中,佐賀県の学校教育ネットワークに対する不正アクセスにより,生徒や保護者等の個人情報が窃取される事案が発生しました。今回の事案については,生徒や保護者等の信頼を失う重大な事態であり,誠に遺憾であります。
文部科学省所管事業分野における個人情報保護に関するガイドライン(平成27年8月31日文部科学省告示第132号):文部科学省 http://www.mext.go.jp/b_menu/koukai/kojin/info/1321223.htm
- 第6 個人データの管理に関する義務:文部科学省 http://www.mext.go.jp/b_menu/koukai/kojin/info/1321234.htm
- 第10 法違反又は法違反のおそれが発覚した場合の対応:文部科学省 http://www.mext.go.jp/b_menu/koukai/kojin/info/1321238.htm
http://ameblo.jp/naka2656/entry-12175972689.html
※ 6/30公開の記事
個人情報保護・情報セキュリティの対策をまったく行わず、また、それを行うつもりもないにもかかわらず県の教育現場のICT化を全国の最先端クラスにもっていった佐賀県教育委員会および同県立高校の各校のあり方は、個人情報保護法や佐賀県個人情報保護条例などに照らして明らかに違法です。
https://www.pref.saga.lg.jp/web/privacypolicy.html
この行動プログラムが県教育委員会・各県立高校にも適用されるかは問い合わせ中。
【行動プログラム】202(責任体制)
個別の個人情報取扱事務が、プライバシーポリシー及び行動プログラムに沿って行われていることを、各課・所の長が責任者となってチェックし、個人情報の収集、利活用、処分が適切に行われるよう個別事務ごとに管理を行います。
【行動プログラム】301(職員への徹底)
プライバシーポリシー及び行動プログラムについては、全職員に通知することによって周知徹底を図ります。また、各課・所において随時研修を行うとともに、臨時職員を含めた職員の新規採用のつど研修を行います。
【行動プログラム】302(自己チェックの徹底)
各課・所の長は、少なくとも年に2回、当該課・所でお預かりしている個人情報について、
- 個人情報の利用目的の表記の状況
- 個人情報の取扱いについてのルールについて、職員その他への周知徹底の状況
- 個人情報の安全管理措置の状況
その他について、所属職員をもって自己チェックを実施します。
【行動プログラム】602(人的安全管理措置)
責任者及び安全保護対策責任者は、各所属の個人情報が適正に取り扱われるよう、事務取扱担当者に対して必要かつ適正な監督を行います。
【行動プログラム】604 (組織的安全管理措置)
お預かりした個人情報の適正な取扱いのために、安全管理措置を講ずるための組織体制を整備し、漏えい等の事案が生じた場合の対応を明確にします。
<script async src="//platform.twitter.com/widgets.js" charset="utf-8"></script>教育分野におけるクラウド導入に対応する情報セキュリティに関する手続きガイドブック(別冊2)https://t.co/0h5SbuPsop
— awakoyot (@awakoyot) 2016年7月4日
「佐賀県では、県の情報セキュリティポリシーに基づき、各学校で実施手順および実施マニュアルを作成することになっています。」
http://www.saga-s.co.jp/news/saga/10101/329911
6月27日以降、被害に遭った学校と県教委には、保護者らからの問い合わせが100件近く寄せられた。
(中略)
県教委は「学校現場が運用する中で不便が生じ、業者に管理IDを教えてもらい、安易に保管していた可能性は否定できない」と話す。
(中略)
何者かによる不正アクセスは既に昨年6月に起きていた。しかし、県教委内部での協議はなく、抜本的な対策もとられなかった。当時の担当者は「警察に届けるのは勇気がいること。生徒のいたずらだと思った。いま考えると、認識が甘かった」と振り返る。
県教委は「学校現場が運用する中で不便が生じ、業者に管理IDを教えてもらい、安易に保管していた可能性は否定できない」
県教委は「学校現場が運用する中で不便が生じ、業者に管理IDを教えてもらい、安易に保管していた可能性は否定できない」
まだ、「可能性は否定できない」 とか言ってる段階なの?運用業者と学校に聞き取りしてないの?
この見出し、「少年たちが悪い」で終わらせる気なんですかね。各位。
http://www3.nhk.or.jp/news/html/20160704/k10010582151000.html (http://archive.is/hopeY)
これについて文部科学省は公的な教育機関の情報漏えいとしては過去最悪の規模だとして、4日にも全国の教育委員会などに対して学校における情報管理を徹底するよう、通知する方針です。
(中略)
さらに、文部科学省はこうした情報システムからの情報漏えいを防ぐための具体的な対策を有識者会議で検討することにしています。
佐賀県のICT利活用教育推進事業に関する、改善検討の今後:教育ICTをデザインする人へ:オルタナティブ・ブログ http://blogs.itmedia.co.jp/tanaka_kohei/2016/07/i.html
昨年度の改善検討委員会では、過去に実施された調査や、各事業及びその予算や仕様などの情報提供を再三に渡り求めてきたが、関連資料が実際に提出されたのは最終回となった第9回であった。 第5回の改善検討委員会では、そもそも様々な調査や定量的な評価すら実施していないという事実が明らかになったものもある。(この時、教育情報システムSEI-Netの導入効果について、調査すらしていないことが判明している)
議論が進めば当然、情報セキュリティーに関連した部分の検討も行うべきであった。
第6回の改善検討委員会では、法令遵守に関する教育について指摘をしたが、それが現場で活かされていなかった結果の今回の事件であれば、もっと強く訴え実行案を出すべきだったと後悔している。
今年に入り、学校現場からの情報提供により、全教職員及び生徒、無線LANAP等NW機器のパスワード変更作業が実施されていることも聞いていた。
その理由や目的について確認すべきだったが、タイムアップとなってしまった。
昨年度開催された全9回の改善検討委員会を通して感じたのは、議論ができるような材料すら整理されていないであろう教育情報課の混迷と、当事者意識の低さ、そして時間稼ぎやアリバイ作りと思しき姿勢であった。
佐賀県:平成28年6月定例教育委員会 https://www.pref.saga.lg.jp/web/kurashi/_1018/ik-osirase/_97115.html
学校教育ネットワークにおける不正アクセスについて https://www.pref.saga.lg.jp/web/var/rev0/0208/2231/20167118378.pdf#page=29
被害に遭ったとされる7校の保護者集会で配布された資料と同一。
- 佐賀西高等学校 http://cms.saga-ed.jp/hp/saganishikoukou/home/template/board/boardDetail.do?MENU_ID=11396&NOTW_NO=150326
- 小城高等学校 http://cms.saga-ed.jp/hp/ogikoukou/home/template/board/boardDetail.do?MENU_ID=21856&NOTW_NO=150743
県教委、昨年6月に不正アクセス把握も通報せず|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/328490
佐賀県教育委員会は、佐賀市の無職少年(17)らにより不正アクセスを受けた県立校の教育情報システムが、2015年6月にも何者かに不正アクセスされたことを直後に把握しながら警察へ通報せず、県教委内部でも対策を協議していなかったことが29日、分かった。
(中略)
県教委によると、昨年6月14日、佐賀市の県立高校の教師が仕事中にネットワーク内のファイルが開けなくなるトラブルが発生した。翌15日に保守業者が点検した結果、何者かの不正アクセスによりアクセス権限が変えられたことが判明した。データの移動量の痕跡から情報流出はなかったと判断し、保守業者は各種パスワードを変更するなどの対策を講じた。
保守業者が15日に、校長は18日にそれぞれ、県教委の教育情報課に事件の概要を報告したが、当時の課長は警察に通報しなかった。不正にアクセスされた校内LANネットワークを所管する教育総務課にも連絡せず、県教委内部で対応を協議することもなかった。各校への注意喚起や情報提供もしなかったという。
県教育情報課長に碇センター所長|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/263525
佐賀県教育委員会は25日、福田孝義副教育長(59)が兼務してきた教育情報課長の事務取扱を解き、後任の課長に県教育センター所長の碇浩一氏(55)を起用する
ここ数年の「先進的ICT利活用教育推進事業」の主要人物
2015トッパン教育情報化セミナー | TOPPAN SOLUTION http://www.toppan.co.jp/solution/seminar/kyoiku2015/01.html
平成23年度から、佐賀県の最重要施策として「先進的ICT利活用教育推進事業」に着手。電子黒板やタブレット端末等のICT機器、校内LAN環境の整備並びに教職員研修をはじめとし、校務管理、学習管理、学習教材管理が一体となった教育情報システム「SEI-Net」の構築を手がけ、教育の情報化推進の先進事例として全国から注目されている。
武雄市ICT教育監に福田・前県副教育長|佐賀新聞LiVE http://www.saga-s.co.jp/column/ictedu/23901/296003
2016年の6月補正予算で、導入から2年で武雄市の小中学校に配備されているタブレットが一部更新される議案が提出された。予定金額からWindowsタブレットの導入が想定される。
武雄市「こども図書館」で3億8750万円追加提案|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/323227
一方、市は小学生に配布しているタブレット端末1千台を約7200万円で購入、更新する財産取得議案も追加提案した。端末は現在の機種より大きい10・1インチで、9月以降、5、6年生が使う分を更新する。
佐賀県教委 ネットワークの内部監査行わず | NHKニュース http://www3.nhk.or.jp/news/html/20160629/k10010575811000.html (http://archive.is/aFVe9)
事件を受けて、佐賀県教育委員会が調べたところ、県立の学校45校で導入されているネットワークで、少なくとも過去3年間は1度も内部監査が行われておらず、今後も行われる予定がなかったことが分かりました。
佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。
「電子県庁」へ態勢甘く 安全対策、監査せず|佐賀新聞LiVE http://www.saga-s.co.jp/news/saga/10101/320853 (これは本庁側の話)
佐賀県:佐賀県教育ネットワーク、県立学校LAN及び佐賀県教育情報システム等の情報セキュリティ強化(インターネットリスク分離・分割・無害化)に伴う調査・設計等業務委託に係る条件付き一般競争入札(事前審査型)を実施します http://archive.is/amlZ7 ※サイトより削除済み
入札及び開札の日時並びに場所
(1) 日時 平成28年6月28日(火曜日)午前10時00分
佐賀県教育ネットワーク、県立学校 LAN 及び佐賀県教育 情報システム等の情報セキュリティ強化(インターネッ トリスク分離・分割・無害化)に伴う調査・設計等業務 業務に係る仕様書 http://archive.is/IVoLS
1.1 本業務の背景
(中略)
平成 27 年 6 月に公表された日本年金機構における個人情報流出事案を受け、総務省で は、地方公共団体における情報セキュリティに係る抜本的な対策を検討され、報告書「新たな自治体情 報セキュリティ対策の抜本的強化に向けて ~自治体情報セキュリティ対策検討チーム報告~」を自治 体に示し、情報セキュリティ対策の強化を求めているところである。 この状況を受け、佐賀県教育ネットワークにおいても、情報セキュリティ対策の強化を図ることとし ている。 学校現場における情報セキュリティ強化(インターネットリスク分離・分割・無害化)については、 具体的な手順等が定められておらず、佐賀県教育ネットワークの現状を調査・分析することにより、情 報セキュリティ強化を図ることとしている。
学校現場における情報セキュリティ強化(インターネットリスク分離・分割・無害化)については、 具体的な手順等が定められておらず
もう一度、
学校現場における情報セキュリティ強化(インターネットリスク分離・分割・無害化)については、 具体的な手順等が定められておらず
過去9回の会議でネットワークセキュリティに関わる検討なし。
佐賀県:平成27年度第7回ICT利活用教育の推進に関する事業改善検討委員会を開催しました https://www.pref.saga.lg.jp/web/kurashi/_1018/ik-ict/_77482/_90881/_93129.html
株式会社NEL&M 代表取締役 田中康平 佐賀県ICT 利活用教育の推進に関する事業改善検討委員会 改善検討に関する考察 7つの提言 平成27年11月10日 https://www.pref.saga.lg.jp/web/var/rev0/0194/3721/2015112413517.pdf
(県政へのご意見 7/20送信)
2016年6月27日に発表された、学校教育ネットワークに係る不正アクセスに関連する報告につきまして、その後の状況、経過報告が県ホームページおよび県教育委員会ホームページ上に一切ありません。
2016年7月19日にも、記者発表が行われたようですがその内容について、報道機関の記事からしか内容を確認することができず、報道が正しいのか検証することができません。
発覚からまもなく1ヶ月となりますが、公式の追加発表が一切ないのは異常であると考えます。
今回、県内小中高校で広く利用されているSEI-Netが一部とはいえ被害を受けていますが、利用している学校へ通う生徒、保護者への通知が充分であるとは言えない状況です。
(被害校以外の学校からの保護者への説明は行っていませんよね。
このような対応を行っている教育委員会がICT教育を推進するというのは、はっきり言ってばからしく、著しく不安でしかありません。
すみやかな状況、経過の報告をお願いします。