北陸先端科學技術大學院大學　　　　　　　　　　　　　
個人情報総括保護管理者 　　　　　　西山 和徳
最高情報セキュリティ責任者(CISO)　飯田 弘之

　本學構成員（教職員及び學生）の氏名、本學が付與したメールアドレス、所屬を記した個人情報が外部サイトにアップロードされ、令和2年11月20日より、當該サイト上から情報の削除が確認された令和3年1月16日までの間、當該サイトの運用者及び契約者に対して、これら個人情報の閲覧?ダウンロードが可能となっておりました。
　関係者の皆様には、多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
　本學ではこのような事案の発生に至りましたことを重く受け止め、今後の確実な再発防止に向けて個人情報保護、取扱に関する教職員の一層の意識向上及び情報管理體制の強化に努めてまいります。

＜経緯?詳細＞
　令和2年11月20日、本學職員が業務として、ダウンロードしたファイルを外部のウィルスチェックサービスサイト（以下、「外部サイト」という。）に自動アップロードし、安全確認を行う機能が導入された端末を誤って使用し、構成員の個人情報1,725件を含む資料ファイルをダウンロードしました。
　そのため、ダウンロードしたファイルが自動的に外部サイトにアップロードされることとなり、當該外部サイトにアップロードされたファイルにおいては、外部サイト運用者のみならず、外部サイトと契約を締結している第三者（主にセキュリティベンダ）から閲覧?ダウンロードが可能となりました。
　令和3年1月15日に本事態を把握し、直ちに削除要請を行い、翌16日にファイルが外部サイトより削除されたことが確認されるまでの間、當該個人情報が閲覧?ダウンロード可能になっていたと考えられます。
　なお、本事態の発生による本學業務や學外への影響は無かったことを確認しています。

＜流出した個人情報＞
　件數　1,725件
　內容　本學構成員（教職員及び學生）の
　　　　　?氏名
　　　　　?本學が付與しているメールアドレス
　　　　　?所屬部局（學生については所屬研究室情報を含む。）
※　生年月日?住所の情報は含まれません。また、流出した情報と同等の內容が大學/研究室等のホームページで公開されている場合があります。

＜対応＞
? 事案の発覚後（1月15日）、直ちに外部サイトへファイル削除を依頼し、翌1月16日、削除完了を確認しました。
? 本學構成員へ向けて本件の報告?お詫び、これらの個人情報を悪用される可能性、対応等に関する注意喚起を記載した連絡を行いました。

＜再発防止への取り組み＞
? 教職員全員に対する注意喚起を行います。
? 特定用途に用いられるべき端末の管理を強化し、日常業務等に用いられることはないように周知徹底いたします。

＜問い合せ先＞
　CSIRT：sec-incident@ml.jaist.ac.jp
　総務課総務係：soumuka@ml.jaist.ac.jp

　※CSIRT...情報セキュリティインシデント対応班
　　　　　（Computer Security Incident Response Team）

令和3年1月29日