チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「委託先がやられたら自分たちも責任を問われるの?」
「個人情報を外部に預けるリスクって、どう管理すればいいの?」
チップスボス!国際武道大学で卒業生の個人情報が流出したって聞いたでしゅ!委託先のサーバが攻撃されたらしいんでしゅけど、大学に責任はあるんでしゅか?
ボスもちろんある。委託先の管理責任は委託元にある。個人情報保護法でも「委託先の監督義務」が明記されている。他人に預けたから安心、では通らないんだ。
委託先を通じた個人情報漏洩は、教育機関に限らずあらゆる組織で起きています。
この記事では、国際武道大学の事案を通じて委託先管理の課題と具体的な対策を解説します。
この記事を読めば、委託先経由の情報漏洩リスクの構造を理解し、自組織が今すぐ実施すべき委託先管理の強化策が分かります。
今回の事案は「自分たちのシステムは安全だった」では済まない、委託先リスクの典型例です。
システム保守を委託していた事業者のサーバが、2025年11月上旬に不審なアクセスを受けました。
委託先は検知後すぐにサーバをネットワークから遮断しましたが、その時点で卒業生の個人情報が外部に漏洩した可能性があると判明しました。
国際武道大学は2026年2月20日に文部科学省と個人情報保護委員会へ報告し、対象となる卒業生への個別説明と謝罪を実施しています。
流出したとされる個人情報の内容は以下の通りです。
| 項目 | 内容 |
|---|---|
| 対象者数 | 卒業生 約120人 |
| 流出した情報 | 氏名、学籍番号、2019年当時の住所、電話番号、生年月日 |
| 原因 | 委託先サーバへの不正アクセス |
| 報告先 | 文部科学省・個人情報保護委員会(2026年2月20日) |
件数は約120人と小規模に見えますが、住所・電話番号・生年月日という組み合わせは、なりすましやフィッシング詐欺に悪用されうる機微な情報です。
本人への影響は数字以上に深刻になる可能性があります。
委託先を介した個人情報漏洩は、日本の教育機関・企業で後を絶ちません。その構造的な原因を理解することが重要です。
チップス委託先がちゃんとセキュリティ対策してくれてると思ってたでしゅ…自分たちでも確認しないといけないんでしゅか?
ボス当然だ。個人情報保護法第25条は「委託先の監督義務」を委託元に課している。契約書に書いただけでは不十分で、定期的な確認・監査が必要だ。
委託先管理で見落とされやすいポイントは以下の通りです。
東京商工リサーチの調査では、2024年の上場企業における個人情報漏洩・紛失事故189件のうち、委託先を経由した二次的な被害が複数確認されています。
イセトーへのランサムウェア攻撃では上場企業8社に被害が波及した事例もあり、委託先リスクは教育機関だけの問題ではありません。
IPAも「情報セキュリティ10大脅威2026」でサプライチェーンリスクを2位に挙げており、組織全体での対応が求められています。
国際武道大学の事案は、委託先のセキュリティ対策の不備が自組織の情報漏洩につながることを示しています。
以下の3ステップで、委託先管理を見直してください。
ボス委託先は「自組織の延長」だ。そこで起きたことは自分たちの責任になる。監督義務を果たすことが、信頼を守る唯一の方法だ。
チップスうちの会社の委託先リスト、今日確認してみるでしゅ!契約書のセキュリティ条項もチェックするでしゅ!
