クラウド型ID管理サービス（IDaaS）の利用大学において複数の漏えい事案が発生していることを憂慮し、個人情報保護委員会（PPC）は2024年10月30日、個人情報保護法上の安全管理措置に関する留意点について注意喚起を行った。

　IDaaSは、Webサービスやアプリケーションなど複数のサービスに登録されているIDやパスワードを一元的に管理できるクラウドサービス。面倒な認証作業や運用業務がスムーズに行えるため、多くの企業で導入が進んでいる。通常、企業が導入する場合は従業者間での利用で、仮に意図しない相互参照ができたとしても、個人データの漏えいとはならないことが多い。

　これに対し大学等では、従業者（教職員等）のほかに、学生・卒業生等も同じグループの参加者として利用している場合がある。この場合、グループ内での情報共有等を目的に導入していたとしても、大学等が意図しない中で、従業者にはあたらない学生・卒業生等の参加者において個人データの閲覧ができる事態が発生する。こうした事態は、個人データの漏えいになり得るため留意が必要となる。

　複数の大学では、本来、相互閲覧を意図していない大学内の教職員や学生等ユーザー間で、長期間にわたり個人データである氏名やメールアドレスが閲覧可能な状態であったという事態が発覚。個人情報の保護に関する法律第26条第1項に基づく漏えい等報告がPPCに対し提出された。

　PPCはこうした事案は、「サービスの仕様や追加された機能を理解・認識していなかったため、そのID管理に関し、適切なアクセス制御を実施していなかったことが原因」とし、個人情報取扱事業者に注意喚起を行った。

＜川端珠紀＞

reseed （リシード）公開URL：https://reseed.resemom.jp/article/2024/11/20/9829.html