流出したとされる成績情報は2000年のもの。当時なら,サイトを公開していても(インターネットからアクセスできるようにしていても),URLを内緒にしておけば当事者(学生)以外は閲覧できないと考えていても,それほど不思議ではない。その後,不要になったはずのその成績ページは放置されたのではないだろうか。
そしてあるとき,その講座を受講していた卒業生が思い立つ。「自分の名前で検索してみよう」と。古い話で恐縮だが,2002年7月,米国の調査組織「Pew Internet&American Life Project」が公開した情報によると,米国のネット・ユーザーの4人に1人が自分の名前で検索したことがあるという。みなさんも一度はやったことがあるでしょう。そしてその結果,成績情報のページが引っかかった。驚く卒業生。そして,大学あるいは「匿名掲示板」に報告して発覚――。テレビのニュースを見て,以上のようなシナリオを筆者は想像した。
あるニュース・サイトでは,「受講している学生だけが閲覧できるようにアクセス権を限定していた」と報じていた。これだけ読むと,ユーザー認証の仕組みを備えていたように思えるが,その記事では「一般の検索サイトからでもアクセスできるようになっていた」と続いている。これはおかしい。やはり,「アクセス権を限定していた」とは,「受講している学生にしかURLを教えていなかった」ことを指していると思われる。
実際,今回の騒動で設置された調査委員会(の委員のひとり)に話を聞くと,筆者の予想がおおむね正しかった。今回の事態をきちんと把握している人に話を聞けたのは3月2日になってからだった。3月1日時点では,事態を把握していない人のコメントを正しいものとして報道していたメディアがあったために,いろいろな話が交錯していたようだ。
先のニュースにも書いたように,URLを秘密にしておくことでアクセスを制限しようと考えていたようだ。ただ,調査委員会に話を聞く限りでは,PDFファイルにしていたことでも安心していたようだ。2000~2001年には,PDFファイルの中身を検索できる検索サイトはなかったはずだ。調査委員会によれば,あるニュース・サイトが書いている「当時は検索できなかったファイルが,技術の進歩で検索可能になってしまった」という大学のコメントは,このことを指しているという。
調査委員会では,現在も今回の件の経緯などについて調査中だとしている。ただ,ファイル自体は削除されたので,そのファイルを既に入手しているユーザーが“再配布”しない限り,個人情報の流出は止められただろう。
また,今回アクセス可能になっていたのは,確かに個人情報であり,不特定多数に閲覧されることは,当事者にとっては許されないことだろうが,受講していた学生全員が閲覧できた情報であり,閲覧させるためにPDFファイル化されていた情報である。また,「成績情報」といっても一科目だけのものだった。
このため,今回の件をいたずらに騒ぐよりも,企業ユーザーとしては他山の石にしたい。つまり,「公開用サーバーに重要な情報を置いていないかどうかを改めて確認したい」ということだ。
新潟大のケースのように,今までは幸運にも見つからなかった大事なファイルが,検索サイトの発達により見つかるようになっているかもしれない。現在では,ベーシック認証すら設定せずに公開用サーバーに置いているファイルは「閲覧されて当然」というのが大方の認識だろう。少なくても筆者はそう認識している。アクセス制御を施さずに公開用サーバーに置いているファイルは,たとえURLを公開していなくても,公開していることと同じである。
いまさらではあるが,今回の件をきっかけに,見られてはまずいものが公開用サーバーに置かれていないかどうか,改めて確認してただきたい。
(勝村 幸博=IT Pro)
