首都大学東京は2015年1月19日、学内のNAS(ネットワーク接続ストレージ)に格納している電子データが一定期間、セキュリティがかかっていない状態で外部からアクセス可能になっていたと発表した(画面)。南大沢キャンパス(東京都八王子市)の管理部教務課事務室に設置していたNASが「FTP共有有効」の設定になっており、ID・パスワードなしで外部からアクセスできる状態になっていた。該当期間は2014年8月22日から2015年1月5日まで。
外部から閲覧可能だったデータは延べ5万1000人分。在学生や教員の住所・氏名・電話番号・成績などが含まれる。入学手続き予定者約1万人分の氏名・住所・電話番号・生年月日も含まれ、このうち約1500人分は学外者のものだという。
首都大学東京の川淵三郎理事長は2015年1月19日付けで「在学生・卒業生など、関係する皆様に対しまして、多大なご迷惑、ご心配をおかけすることとなり、深くお詫びを申し上げます」とする謝罪文を公開した。さらに、臨時の問い合わせ窓口を設置。「自分の個人情報は外部からアクセス可能だったデータに含まれるか」という質問を中心に、1月20日夜までに約30件の問い合わせがあったという。
首都大学東京管理部教務課の説明によれば、1月1日に学外の人物から電子メールで「NASのデータが外部から閲覧できる」との情報提供があったという。1月5日に調査したところ、不適切な設定が判明し、直ちに「FTP共有無効」の設定に変更した。
NASは市販の汎用品だという。120日分のアクセスログを残す設定になっており、この間に外部からのアクセスが1027件あったとしている。NASはそれ以前から設置されていたため、外部からのアクセスはさらに多かった可能性が高い。
大学の情報システムを巡っては、2013年11月ごろに複数の大学でデジタル複合機の保管文書が誤ってインターネット上で公開状態になっていた問題が発覚している(関連記事:情報漏洩の危機にさらされるデジタル複合機)。
