高槻ご意見番

「高槻ご意見番」の代表で、高槻市議会議員の北岡たかひろのブログです。

【中学生が教員のアカウントに不正ログイン】児童生徒には犯罪行為だと指導を

中学生が教員のアカウントに不正ログイン

今日で3月議会は閉会。昨日の本会議の一般質問では、中学生が教員のアカウントに不正ログインした件も取り上げました。この件は、報道もされています。

私は最後に以下の質問をして意見を述べました。

(1)生徒はどれくらい反省しているのかとお訊きしましたが、答弁がありませんでした。あらためてお訊きしますので、お答えください。

 あとは意見を述べます。
 異なる端末からログインがあった場合は、メールで通知が行われる仕組みになっていたのに、そのメールを日常的に確認していなかったということです。何のための仕組みだったのでしょうか?定期的な確認を徹底してください。
 パスワードは他者に知られないように管理することとしていたのに、生徒に、教員の手元を見られて、パスワードを把握されてしまったということで、教員の側にも脇の甘さがあったといえます。
 もはや、子ども達は、デジタルネイティブ世代で、大人より詳しい子もいますので、気を付けるというよりも、警戒するくらいの気持ちで、情報の管理を徹底する必要があると思います。
 不思議なのは、約100名分の情報が閲覧可能であったにもかかわらず、漏洩したのは6件だとされたことです。生徒のタブレット端末やスマホ等には個人情報が保存されていなかったにもかかわらず、漏洩した個人情報を、6件と確定したのは何故なのでしょうか?生徒の自己申告を信じたのでしょうか?それとも高槻市の事務処理ミス等の公表に関する要綱では、10人以上の個人情報の漏洩があった場合には、個別公表にしなければならないと定められているので、大人の事情で6件となったのでしょうか?よく分かりませんが、その6件という数字が、市のサイトの「事務処理ミス等の公表」の定例公表のページに、単なる小テストの漏洩の件数として掲載されたわけです。
事件を矮小化した公表
 一方で、学校からの生徒・保護者への通知には、個人情報保護法に基づいて、閲覧が可能となった約100名分の情報等を記載したということです。市の「事務処理ミス等の公表」でも、同じく、個人情報保護法に基づいて、約100名分の情報等を記載すべきだったのではないのでしょうか?事件を矮小化して、ごまかしているとしか感じられません。
 先ほども申し上げたとおり、この件は、単なる情報漏洩ではなく、生徒が故意に行った不正ログインによって、個人情報が窃取されたものです。いわゆる不正アクセス禁止法に抵触する可能性がある行為がされたわけです。この件の詳細を市が明らかにしなくても、生徒や保護者から、マスコミへ情報提供される可能性もあるわけですから、事件の核心を、ごまかさずに、最初から、ちゃんとマスコミに対しても公表すべきだったと思います。
 本件については、学校・教員の情報管理の甘さと共に、公表の仕方にも問題があったと言わざるを得ません。
 ただ、事件を起こしたのは、中学生です。興味本位ということもあったかもしれません。もし、深く反省しているのであれば、厳重注意くらいでいいと思います。
 けれども、仮に、なんら反省していないということであれば、警察や児童相談所に対応してもらう必要があるのではないでしょうか?生徒に真摯に反省させることも、教育だと思いますので、しっかりとした対応をお願いします。
 また、この機に、不正ログインは犯罪だと、たとえ、他人のパスワードを知ってしまったとしても、それを利用したら犯罪になるということを、タブレット端末を扱う児童生徒には、きちんと教えてください。二度とこうしたことが起きないように、学校・教員の側が注意するだけではなく、児童生徒にも指導してください。要望しておきます。
 以上です。

【答弁要旨】
 生徒個人の心情等の情報になりますので、繰り返しになりますが、答弁を差し控えさせていただきます。指導に関しては適切に行っています。



以下は昨日の議会でのやり取りです。原稿とメモに基づいているので不正確な部分もあることをお許しください。

一般質問 2.不正ログイン等について

<1回目>

 報道もされましたが、ある校長が生徒や保護者宛てに通知した文書によると「本校において・・・生徒2名が教員のGoogleアカウントに不正にログインし、生徒の小テストの点数などの個人情報を閲覧した事実が判明しました。・・・令和8年1月20日、授業中に、教員が教室を巡回していたところ、生徒が授業で使用するタブレット端末を隠すなどの不審な動きをしていたため、聞き取り等の調査を開始しました。その結果、生徒らが、教員のアカウントのパスワードを覗き見たうえ、授業で使用するタブレット端末で当該アカウントにログインしたことが発覚しました。これにより、同校生徒の小テストの点数など、約100名分の個人情報が閲覧可能となり、6名分の個人情報が閲覧されていたことが判明しました。」ということです。まず9点伺います。

(1)生徒の不審な動きを見て調査をした結果、判明したということですが、不審な動きを見つけなければ、不正ログインを発見できなかったのでしょうか?アクセスの記録などからは分からなかったのでしょうか?不正アクセスの警告などの通知はなかったのでしょうか?お答えください。
 また、教員のアカウントには二段階認証などのセキュリティ対策は取られていなかったのでしょうか。お答えください。

⇒異なる端末からのログインがあった場合は、メールで通知が行われる仕組みになっていましたが、本事案発覚まで、当該アクセスに気がつきませんでした。なお、二段階認証については、本事案を受け、市内全小中学校の職員に対し導入しています。

(2)生徒は、いつ、どのようにして、教員のアカウントのパスワードを覗き見たのでしょうか?あるいは、覗き見ではなく、別の手段でパスワードを入手したのでしょうか?生徒は、いつ、どういった手段で、教員のアカウントのパスワードを入手したのか、具体的にお答えください。

⇒パスワードを入力している教員の手元を見て、把握したものです。

(3)令和8年1月20日の授業中に生徒が不審な動きをしていたため聞き取り等の調査を開始したということですが、いつ、どういった調査を行ってきたのでしょうか?調査の内容と経緯をお答えください。

⇒関係生徒への聞き取りとログの解析を行いました。

(4)教員のアカウントで管理されていた情報は、小テストの点数や記述だということですが、これだけなのでしょうか?他にどういったデータがあったのでしょうか?生徒の名簿や成績、進路等に関する情報はなかったのでしょうか?メールの内容なども覗き見ることができたのではないのでしょうか?どういったデータがあったのか、具体的にお答えください。
 また、教員のアカウントを使用して、買い物をしたり、入手したデータを他へ転送・掲載したりするなど、外部に対して何らかの行動をしたということはないのでしょうか?あるのであれば、どういったことがされたのか、具体的にお答えください。

⇒当該アカウントについては、授業等で教員と生徒がやりとりするために活用するものであり、進路情報等は取り扱っていません。
 なお、学校外への情報の流出は確認されておりません。

(5)不正ログインは計何回されたのでしょうか?生徒ごとにお答えください。
(8)不正ログインをした生徒には、どういった処分が、どのような理由で、されるのでしょうか?具体的にお答えください。

⇒5点目と8点目につきましては、関係生徒に係る情報の詳細は、答弁を控えさせていただきます。

(6)保護者や生徒には、この件について、3月9日に知らされています。1月20日の発見から、なぜそれだけの時間がかかったのでしょうか?お答えください。

⇒正確な事実の把握のために時間を要したものです。

(7)事務処理ミスとしては公表されていませんが、何故なのでしょうか?理由をお答えください。

⇒事務処理ミスにつきましては、定例公表を行っております。

(9)個人情報を覗き見られた被害者側の生徒や保護者への対応は、誰が、いつ、どうされるのでしょうか?具体的にお答えください。

⇒個人情報が閲覧された生徒及びその保護者へは、学校から個別に説明を行いました。

<2回目>

(1)異なる端末からのログインがあった場合は、メールで通知が行われる仕組みになっていたということですが、その通知のメールは、誰のメールアドレスに送られることになっていたのでしょうか?教育委員会や校長にも送られることになっていたのでしょうか?お答えください。
また、実際に、その通知は届いていたのでしょうか?届いていたのであれば、なぜ「当該アクセスに気がつ」かなかった、ということが起きたのでしょうか?理由をお答えください。

⇒通知は当該教員にメールで送信されていますが、当該教員はメールを日常的に利用していなかったため、通知を確認できていませんでした。

(2)生徒は、パスワードを入力している教員の手元を見て把握したということです。教育委員会は、教員に対して、パスワードの入力については、どのように指導していたのでしょうか?お答えください。

⇒高槻市学校教育情報セキュリティポリシーに基づき、パスワードは他者に知られないように管理することとしております。

(3)生徒のタブレット端末やパソコン、スマホ等は、調査されたのでしょうか?調査されたのであれば、本件に関するデータや画像については、どういったものが、どれだけあったのでしょうか?具体的にお答えください。

⇒調査により、タブレット端末に保存されていた個人情報はありませんでした。また、私物のスマートフォン等についても、保護者の協力のもと、本件に関する個人情報の保存がないことを確認しています。

(4)アクセス権限を持たない者が他人のID・パスワード等を用いてログインする行為=不正アクセス行為は、いわゆる不正アクセス禁止法で、3年以下の懲役または100万円以下の罰金とされています。家族間であっても罰せられる可能性があります。
関係生徒に係る情報の詳細は、答弁を控えるということですが、生徒はどれくらい反省しているのでしょうか?お答えください。
(7)個人情報を覗き見られた被害者側の生徒や保護者へは、学校から個別に説明を行ったということです。それで納得されたのでしょうか?謝罪等は、それ以上されないのでしょうか?お答えください。

⇒4点目と7点目につきましては、生徒等、個別の情報になりますので、答弁を差し控えさせていただきます。

(5)高槻市のサイトの、事務処理ミスの定例公表のページには「2月25日 市立中学校における小テスト点数の漏えい(6件)・個人情報漏洩:6件」と書かれているだけで、誰が誰に漏洩したのかも書かれていませんので、教師がうっかり漏らしたのではないかというくらいにしか普通は思えないはずです。
けれども、実際は、生徒が、不正アクセス行為をして、学校が管理する情報を窃取していたわけです。
 事務処理ミスとして公表するとしても、単なる情報漏洩ではなく、生徒が故意に行った不正アクセス行為により、個人情報が窃取されたと、事件の核心の部分をしっかりと明記すべきだったのではないのでしょうか?見解をお答えください。
また、故意に、犯罪である不正アクセス行為がされたわけですから、定例公表ではなく、個別公表をして、マスコミにも情報提供すべきだったのではないのでしょうか?見解をお聞かせください。
(6)今年3月9日付の校長のお詫びによると、「約100名分の個人情報が閲覧可能」になったということです。その具体的な内容は、小テストの点数が101名分、記述が34名分などだと記載されています。
けれども、事務処理ミスの定例公表のページには、さきほど申し上げたとおり、「小テスト点数の漏えい(6件)」としか書かれていません。この差異は何なのでしょうか?なぜ件数に違いがあるのか、具体的な理由をお答えください。

⇒5点目と6点目についてですが、学校からの通知については、個人情報保護法に基づき、閲覧が可能となった約100名分の情報を記載し、その対象となった方に通知したものです。また、事務処理ミスの公表については、事務処理ミス等の公表に関する要綱に基づき、個人情報の漏えいが確定した6名分について、一括公表を行ったものです。

<3回目>

(1)生徒はどれくらい反省しているのかとお訊きしましたが、答弁がありませんでした。あらためてお訊きしますので、お答えください。

 あとは意見を述べます。
 異なる端末からログインがあった場合は、メールで通知が行われる仕組みになっていたのに、そのメールを日常的に確認していなかったということです。何のための仕組みだったのでしょうか?定期的な確認を徹底してください。
 パスワードは他者に知られないように管理することとしていたのに、生徒に、教員の手元を見られて、パスワードを把握されてしまったということで、教員の側にも脇の甘さがあったといえます。
 もはや、子ども達は、デジタルネイティブ世代で、大人より詳しい子もいますので、気を付けるというよりも、警戒するくらいの気持ちで、情報の管理を徹底する必要があると思います。
 不思議なのは、約100名分の情報が閲覧可能であったにもかかわらず、漏洩したのは6件だとされたことです。生徒のタブレット端末やスマホ等には個人情報が保存されていなかったにもかかわらず、漏洩した個人情報を、6件と確定したのは何故なのでしょうか?生徒の自己申告を信じたのでしょうか?それとも高槻市の事務処理ミス等の公表に関する要綱では、10人以上の個人情報の漏洩があった場合には、個別公表にしなければならないと定められているので、大人の事情で6件となったのでしょうか?よく分かりませんが、その6件という数字が、市のサイトの「事務処理ミス等の公表」の定例公表のページに、単なる小テストの漏洩の件数として掲載されたわけです。
事件を矮小化した公表
 一方で、学校からの生徒・保護者への通知には、個人情報保護法に基づいて、閲覧が可能となった約100名分の情報等を記載したということです。市の「事務処理ミス等の公表」でも、同じく、個人情報保護法に基づいて、約100名分の情報等を記載すべきだったのではないのでしょうか?事件を矮小化して、ごまかしているとしか感じられません。
 先ほども申し上げたとおり、この件は、単なる情報漏洩ではなく、生徒が故意に行った不正ログインによって、個人情報が窃取されたものです。いわゆる不正アクセス禁止法に抵触する可能性がある行為がされたわけです。この件の詳細を市が明らかにしなくても、生徒や保護者から、マスコミへ情報提供される可能性もあるわけですから、事件の核心を、ごまかさずに、最初から、ちゃんとマスコミに対しても公表すべきだったと思います。
 本件については、学校・教員の情報管理の甘さと共に、公表の仕方にも問題があったと言わざるを得ません。
 ただ、事件を起こしたのは、中学生です。興味本位ということもあったかもしれません。もし、深く反省しているのであれば、厳重注意くらいでいいと思います。
 けれども、仮に、なんら反省していないということであれば、警察や児童相談所に対応してもらう必要があるのではないでしょうか?生徒に真摯に反省させることも、教育だと思いますので、しっかりとした対応をお願いします。
 また、この機に、不正ログインは犯罪だと、たとえ、他人のパスワードを知ってしまったとしても、それを利用したら犯罪になるということを、タブレット端末を扱う児童生徒には、きちんと教えてください。二度とこうしたことが起きないように、学校・教員の側が注意するだけではなく、児童生徒にも指導してください。要望しておきます。
 以上です。

【答弁要旨】
 生徒個人の心情等の情報になりますので、繰り返しになりますが、答弁を差し控えさせていただきます。指導に関しては適切に行っています。


-
高槻ご意見番 代表 北岡隆浩(高槻市議会議員)
https://x.com/kitaokatakahiro