東北芸術工科大学は、一部学内関係者のみで共有すべきファイルが、「Microsoft Teams」の設定ミスにより、学内全体で閲覧できる状態だった。

■状況
「Teams」のプライバシー設定を「プライベート」とするべきところ、「パブリック」と設定していた。特定の教職員が利用するチームに保存されていた個人情報を含むファイルが、チーム外の学生や教職員からも閲覧できる状態となっていた。

■被害
・要配慮個人情報が含まれる25人分の学籍異動関係ファイル6件が、2024年9月21日から同年12月19日まで閲覧可能だった
・学生や教職員、学外者などあわせて785人分の氏名やメールアドレスなどを含むファイル894件が、2020年4月9日から2024年12月23日にかけて閲覧できる状態だったという。

■対応
・2024年12月19日に「Teams」内の検索機能を用いた際に設定ミスが判明。プライバシー設定の見直しを行った。
・新規にチーム作成を行う場合「パブリック」を選択できないよう設定を変更
・システム管理者が「Teams」における運用状況を定期的に確認したり、情報管理ポリシーの見直し、学内における教育の徹底を図り、再発の防止を図るとしている。

■注意
学校や企業が行う個人情報保護保護法研修で、アプリケーションの設定方法まで含めることがないため、個別対応、という無責任な状態になりがちだ。
個人情報をアプリケーションを通して扱う際のリスクを洗い出し、誰が責任をもって最終対応するか定めて実行して頂きたい。