なんでもかんでもICTにすれば良いということではない - 赤木智弘

写真拡大

※この記事は2016年07月03日にBLOGOSで公開されたものです

 佐賀県が学校教育のための情報を教員や生徒のために提供する「SEI-Net」が不正アクセスの被害に遭い、県立中学や高校生徒らの住所、氏名、電話番号。並びに成績や指導情報などを含む、9500人以上の情報が漏洩していたことが明らかとなった。(*1)

 不正アクセスをしていたのは、佐賀県内の少年らであり、遅くとも2015年の4月から不正アクセスされていることが明らかとなっている。(*2)

 この事件が公表されたのは6月の27日だが、少なくとも佐賀県は遅くとも2月15日には、不正アクセスの問題があったということを把握していた。

 2016年1月31日に、警視庁が有料放送を無料で見られる不正プログラムを公開していた佐賀県の17歳の少年を逮捕するという事件があった(*3)が、このときに教育情報システムから流失したであろうファイルが見つかったことから、警視庁が佐賀県側に連絡していたというのだ。(*4)

 しかしながら、結局は十分な対策が取られることもなく、先の逮捕された少年にIDとパスワードを教えられた16歳の少年が不正アクセスしてしまった。(*3)

 毎日の記事によると、2015年6月の時点で管理者用IDとパスワードで侵入され、アクセス権限が変更されてしまうという事件が起きていたが、保守業者側は管理者パスワードを変えるのみで、管理者用IDとパスワードが生徒もアクセスできる場所に置かれているという問題を放置したままだったという。(*5)

 まず、不正アクセスの被害に遭ったのは仕方ないとしても、佐賀県側の対策の遅れによって、不正アクセスが明らかになった後も問題が放置され、さらなる「加害者」を生み出してしまった。これは佐賀県側、並びに保守管理業者の失態であるといえる。

 教育関係者には「ICT教育最先端の佐賀県で!」という驚きもあるようだ(*6)が、先端だろうが何だろうが、一般の生徒や教員がアクセスできる場所に管理者用IDとパスワードをおいてしまうシステムであった時点で、不正アクセスされるのは時間の問題であったといえる。いくら強固にセキュリティを固めたつもりでも、玄関が開いていればそこから泥棒は入ってくるのである。

 さて、僕が不思議に思うのは、そもそも何の理由があって、ネット上からアクセスできるようなシステムに、複数学校の生徒の成績や指導内容などが置かれていたのだろうか?

 情報を集約すれば、当然、その情報を効率的に扱うことができる。だが、一方で情報が集約されているということは、不正アクセスがあったときのリスクが高いということである。

 今回の事件でも県内の中高複数の学校に通う生徒らの個人情報が盗まれてしまっている。本当に違う学校の生徒の情報まで1つのシステム上にまとめておいておく必然性はあったのだろうか?

 まだ、僕が子供の頃には、各自の成績は「通知表」という形で、各家庭に持ち帰ることになっていた。子供はテストの有無はごまかすことはできても、さすがに通知表の有無をごまかすことはできなかった。

 もちろんこの方式にも「生徒が持ち帰っているときに落とす」というリスクはあったが、情報は分散されて管理されているおかげで、仮に落としたとしても他人が手に入れるのはその生徒の成績だけだ。

 もちろん通知表もまとめて持って行かれるリスクはある。実際に学校単位の成績表が盗まれる事件もたまに起きている。しかしそれでも、1つの金庫が破られることによって、複数の学校の金庫が同時に破られることはない。

 僕がこの事件の報じられ方の中で、ちょこちょこ気になっていたのは、さも佐賀県のICT推進が、一点の曇りもなくいいことであるかのように言われていることである。「ICT化が進んでいる佐賀県なのに」という反応はその代表的なものだ。しかしそれはICT化が進んでいるから、情報が集約されてしまい、大きな被害につながったともいえるのである。

 ICTか紙の教科書や通知表かというのは、単なる方法論の違いであり、どっちが正しいとか間違っているということではない。適切な保守管理ができないのであれば、どちらにしてもダメなのである。

 ただ、明確にICTと紙の書類が違うのは、前者は見た目で判断できないが、後者は見た目で判断できるということである。

 今回の事件についても「有料放送を無料で見られる不正プログラムを公開していたという事件」で少年のパソコンが押収されなければ、そもそも個人情報が流失してしまっている事態そのものに気づくことができなかった。発覚しなければ誰も気づかないまま、このシステムが運用され続ける限り、複数の誰かに不正アクセスを繰り返される可能性すらあったのである。一方で通知表が金庫から盗まれれば書類が物理的になくなるのだから、最悪でも学期の切り替わりには問題が発覚するのである。

 こうした問題が発生したときにそれを検知できるかできないかまで含めて、適切な管理をすることが学校に求められているのであり、それはICTだからとか紙だからという問題ではないのである。

 繰り返すが、この事件は決して「不正アクセスをした生徒が悪い」というだけの話でもなければ、「システムそのものがザルだった」というだけの問題ではない。ICT化にかまけて、適切な管理を怠った、県や学校、システム開発、保守管理業者の失態なのである。

 そうしたずさんな管理の実態を明らかにするために、真っ先に行うべきは「職員室のモニターに自分用のIDとパスワードを付箋で貼り付けている教師がいないか」を調べることだ。まずはその基本的なレベルから始めないと、こうした問題は繰り返されるだろう。

*1:学校教育ネットワークに係る不正アクセス被害がありました(佐賀県) https://www.pref.saga.lg.jp/web/kisha/_97193/_97971.html
*2:不正接続、15年4月から 佐賀の17歳 仲間と何度も侵入か(日本経済新聞) http://www.nikkei.com/article/DGXLASDG28H3L_Y6A620C1CC0000/
*3:【B-CAS不正事件】佐賀市17歳少年が学校システムにも侵入 成績など個人情報21万ファイルを入手し仲間と共有(産経ニュース)http://www.sankei.com/affairs/news/160627/afr1606270010-n1.html
*4:佐賀県教育庁、対策せず? 情報流出把握後も不正接続(朝日新聞) http://digital.asahi.com/articles/ASJ6X3G04J6XUTIL00L.html?rm=361
*5:不正アクセス:佐賀県教育システム侵入 昨年6月にも 県教委、変更パスワードのみ(毎日新聞) http://mainichi.jp/articles/20160630/ddp/041/040/022000c
*6:<不正アクセス>「最先端の佐賀県システム破られるとは」(毎日新聞) http://headlines.yahoo.co.jp/hl?a=20160627-00000039-mai-soci