東北学院大学で、業務用パソコンがランサムウェアに感染し個人情報含む業務データが外部へ流出した。

■この事案で取られた再発防止対策

・技術的安全管理措置
ファイアウォールの設定強化をはじめとする技術的な対策
被害を受けた職員を特定し、利用機器をネットワークから隔離。
同職員のアカウントを停止するとともにパスワードを強制的に変更した。

・組織的安全管理措置
組織全体に対してセキュリティ啓発など組織的な対策を実施

・人的安全管理措置
関係者に対するセキュリティ啓発

■発生した事案の概要

職員が使用する業務用パソコンを侵害されてランサムウェアに感染し共有ドライブから個人情報含む業務データを窃取されたもの。
具体的には、同大の学生や卒業生3490人に関する氏名、メールアドレス、学生番号、成績情報などが流出。ただし、特定の個人と成績情報が紐づく情報は含まれていないという。
法人事務局や設置校の教職員に関する氏名、一部メールアドレス、教職員番号など3476件のほか、システム運用に関わる外部企業41社の関係者119人の氏名、電話番号、メールアドレスなども流出の対象としている。

侵害されたアカウントより、学内システムが不正に利用された痕跡は確認されていない。被害を受けたアカウント以外、学生や教職員の認証アカウントのパスワード流出なども発生していないとしている。
同大では、対象となる学生や関係者に対し、経緯の説明と謝罪を行うとともに、個人情報保護委員会へ報告を行った。