大学内のサークルや体育会の情報セキュリティ管理の責任はどこが負う?
こんばんは。今回は立命館大学応援団での情報漏洩事件について取り上げてみます。
こちらはScanNetsecurityの記事からです。
応援団OBOGの個人情報を記録したUSBメモリを団員が持ち出して紛失してしまったということのようです。疑問を持ったのが、「応援団での個人情報管理はどのように行われていたのか?」という点です。これが大学事務部や研究室等では大学が直接コントロールするので、責任の所在がはっきりしています。
今回の応援団のように、サークルや学内の課外活動団体に対して、大学側がどこまで情報セキュリティに関するコントロールが可能なのか?という点が気になります。
直接介入は難しそうな気がするのですが、実際どうなんでしょうね?大学側の職員(場合によっては教員も?)が内部監査したりするのだろうか?とか、セキュリティポリシーやら管理基準やらの「お約束ごと」を学生自身で作ったり、PDCAサイクルを回したりするのだろうか?という疑問があります。
「学生の課外活動団体だから、個人方法保護に関しては適当でいい」とかいうようなことは許されるはずもありません。大学側からの指導があったりするものなのでしょうか???
学生に対するセキュリティ意識の向上に対する講習も切実な課題になってきているということでしょうか。