愛知県内市立中学での情報漏洩事件のその後
こんばんは。以前愛知県内の(どこかは明かされてませんが)市立中学校での情報漏洩事件のその後について発表があったと朝日新聞デジタルで報じられていました。
記事によると、2年生男子がパスワード入手後、当該サーバにアクセスして情報を入手し、インターネット上に公開したとのことです。パスワード入手の方法が「教員用PC周辺にパスワードが書かれているのを見つけ」とありました。まさかとは思いますが、ディスプレイに付箋でIDとパスワードを貼っていたのではないかと思われます。普通なら「付箋にパスワードを書いてディスプレイに貼ってはいけません」と情報セキュリティ講習で最初にきつく釘を刺されそうなものですが、もしかしたら中学校には教員対象の情報セキュリティ教育がなかったのではないだろうかと思えてなりません。
今回はベタな手口でしたが、下手すると生徒の方がITに関する知識を持っている場合があります。あまりにITリテラシーが低い教員がいると、生徒にバカにされることも十分に考えられます。もちろん忙しいというのもあるでしょう。これは地方自治体側が教員に研修の機会を与えてないんじゃないだろうかと勘繰られても仕方ないでしょうね。先日の福井県池田町の例もあるのですが、あまりにもITリテラシーの低い職員が存在するというだけでなく、簡単に情報漏洩が起きてしまう仕組みをそのままにしていることの方が拙いのではないかと思います。昨日の静岡市役所の例でもありましたが、「情報漏洩を起こしたから内部事務ネットワークかインターネットに直接接続出来ないようにします」という安直に禁止する方向で対応する発想を捨てる時期に来ているのではないでしょうか。「危ないから禁止します」は完全に思考停止ですし、結果的に業務効率を落とすだけでなく、人件費も含めたコスト増にしかならないという現実を直視すべきです。「今後情報漏洩を起こさないようにネットワーク構成の見直しや、標的型メールやマルウェア・ウイルス対策を強化すると共に、職員に対するITリテラシー向上の研修を充実させて行きます。」と言っておけばいいものを、事勿れ主義的発想が不信感を募らせているのだということに気づいてほしいものです。
話を少し戻して、この生徒は「他のPCでも見たい」と思い、自身のブログに公開したそうです。これでは学校として生徒にもITリテラシー教育が出来てなかったと言われても仕方ないですね。そして、中学校の内規で「セキュリティの高いサーバで保管する」と決まっているそうですが、実運用がなってなかったということですよね。この記事を読む限りでは。そもそも「セキュリティの高いサーバ」とはどういう代物だろうかということが気になって仕方ありません。「データをコピー出来ない仕組み」とありますが???
「何らかの手違い」というのも、本当のところは「使い勝手が悪いから」と2年生担当の教員が別のサーバに置いたのかもという可能性を少し疑っています。
結局最後は人なので、実際に無理がある運用をしていると、そこから綻びが出来て一気に崩れて行くのだという怖さがあります。
小学校でのプログラミング必須化も高校での情報科の形骸化もそうなんですが、現場にITのプロがいないということが悲惨な結果を生むという事実がまた1つ積み上がったような気がしてなりません。