宮城県立石巻高校で生徒182人の採点済み答案が校内グループウェアに誤公開、全校に情報管理の再整備を指示

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo




「学校でグループウェアを使っているが、誤公開のリスクはどう防げばいいのか?」
「生徒の個人情報を扱う教職員が取るべき情報管理の基本が知りたい」

チップス

ボス、宮城の高校で採点した答案が誤って生徒みんなに公開されたって聞いたんでしゅ。先生のミスって……防げなかったんでしゅか?

ボス

ヒューマンエラーは完全にゼロにはできない。だが今回は「誤フォルダへの保存」と「ファイル未確認での公開」という2段階のミスが重なった。どちらか一方でも防げていれば情報は漏れなかった、典型的な多重エラーだ。

宮城県立石巻高等学校で2026年6月24日、2年生182人分の採点済み数学答案のPDFが、校内グループウェアに誤って公開された。
生徒からの指摘で発覚し、同日中に公開を制限。SNSなどへの二次流出は確認されていないが、宮城県教育委員会は全ての県立学校に対し情報管理ルールの再整備を文書で指示した。

  • 採点済み答案PDF 182件が校内グループウェアに誤公開、生徒の指摘で同日制限
  • 誤フォルダへの保存と未確認での公開という2段階のヒューマンエラーが原因
  • 宮城県教委が全県立校に情報管理ルールの点検・再整備を文書指示

この記事では、事件の経緯と原因を整理し、教育機関における情報管理の落とし穴と具体的な再発防止策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

①事件の概要:採点済み答案182件が校内に公開された経緯

2026年6月24日午後2時15分頃、石巻高等学校で何が起きたのかを時系列で確認します。

採点済み答案182件が誰でも閲覧できる状態に

石巻高等学校の教員が2年生の数学定期試験を採点し、PDFに変換後に保存した際、誤ったフォルダに格納してしまった。
その後、校内グループウェアでファイルを共有しようとした際に、当該フォルダに入っていた採点済み答案182人分のPDFが含まれていることを確認せずにアップロードし、生徒全員が閲覧できる状態になった。

記録されている個人情報の内容は以下の通りです。

  • 生徒の氏名(答案用紙の記名)
  • 答案の記述内容(学力情報)
  • 採点済みの点数・採点者のコメント

答案はいわゆる「学力に関する情報」にあたり、個人情報保護法上も特に慎重な取り扱いが求められるセンシティブな情報です。

発覚から収束までの対応タイムライン

誤公開に気づいたのは生徒側からの指摘でした。学校の対応は迅速で、同日中に制限をかけています。

  • 6月24日 14:15頃:教員が採点済み答案PDFをグループウェアに誤公開
  • 6月24日 16:40:生徒からの指摘を受け、グループウェアの公開を制限
  • 6月24日 20:00:対象生徒の保護者に謝罪メールを送付
  • 6月25日:在校生向けに説明集会を実施
  • 6月26日:保護者説明会を開催

SNSや外部サイトへの二次流出は確認されておらず、学校の迅速な初動対応が被害拡大を防いだといえます。
一方で、約2時間25分にわたって誰でも閲覧できる状態が続いていたことも事実です。

チップス

2時間以上も見られてたんでしゅか……。生徒たちはその間ずっと閲覧できたんでしゅね。

ボス

そうだ。しかも生徒が指摘するまで学校側は気づけなかった。発見の仕組みが「外部からの報告頼み」になっている点が今回の教訓のひとつだな。

②原因と教訓:2段階のヒューマンエラーと再発防止の考え方

なぜこの事故が起きたのか、根本原因と組織的な対策を整理します。

2段階のヒューマンエラーが重なった背景

今回の事故は「1つのミス」ではなく、2つの操作ミスが連鎖したことで発生しました。
それぞれを単独で見ると些細な作業上のミスですが、両者が重なることで外部公開という深刻な結果につながっています。

  • 【ミス1】採点済み答案を誤ったフォルダに保存した(保存先の確認不足)
  • 【ミス2】グループウェアへのアップロード時にファイル内容を確認しなかった(公開前チェックの省略)

このような多重エラーは、一方の防止策が機能していれば防げます。
ところが「保存するときに確認する」「公開するときに確認する」という二重のチェックがどちらも機能しなかった点に、組織的な課題が潜んでいます。
宮城県では、この事件の直近数か月でも複数の教員による情報持ち出し・紛失事案が報告されており、教育機関全体での意識向上が求められている状況です。

教育機関が取るべき再発防止策

今回の事案を踏まえ、学校・教育委員会が整備すべき対策は以下の通りです。

  • ファイル保存時のフォルダ確認チェックリストの運用(保存先ルールの明確化)
  • グループウェアへの公開前にファイル内容を確認するダブルチェック体制の導入
  • 個人情報を含むファイルには命名規則(例:「秘」「採点済み」など)を設けて視認性を上げる
  • 公開範囲のデフォルトを「限定公開・要申請」に設定し、全体公開を例外扱いにする

文部科学省の「教育情報セキュリティポリシーに関するガイドライン(2022年改訂版)」でも、教職員が取り扱う個人情報へのアクセス管理と定期的な研修の実施が明記されています。
技術的な仕組みと、人が手を止めて確認する運用ルールを組み合わせることが重要です。

チップス

情シスじゃなくて学校の先生でも、こういうチェック体制って必要なんでしゅね……。

ボス

ふふふ。個人情報を扱う組織である以上、業種は関係ない。学校も企業も、「確認する文化」がなければミスは起きる。今回の宮城県の一斉指示は、そういう意味で正しいアクションだ。

③まとめ:確認文化の醸成が情報事故を防ぐ

今回の石巻高等学校の事案は、個人情報の取り扱い上の「2段階の確認省略」という典型的なヒューマンエラーによる情報漏洩でした。
学校・企業を問わず、個人情報を扱うすべての組織において「保存前に確認する」「公開前に確認する」という基本的なチェックを習慣化することが最大の防止策です。
宮城県教育委員会が全県立校へ一斉に再整備を指示した対応は、再発防止のモデルケースとして注目されます。

情報管理の基本を徹底し、デジタルツールを安全に活用するための仕組みを整えることが、組織全体の信頼を守ることにつながります。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次