都立大教員の個人Googleアカウントが不正アクセス被害により、個人情報流出の可能性が指摘される事態

都立大教員の個人Googleアカウントが不正アクセス被害により、個人情報流出の可能性が指摘される事態

東京都立大学の教員が個人で利用していたGoogleアカウントに対し、外部からの不正アクセスが発生しました。この出来事により、教員のアカウント内に保存されていた学生やイベント参加者の氏名・連絡先などの個人情報流出の可能性が浮上しています。まずは今回の事件の概要と背景について解説し、なぜこのような事態に至ったのかを見ていきます。教員の個人アカウントが標的となった理由や事件が明るみに出るまでの経緯を把握することで、問題点が浮き彫りになります。

東京都立大学教員の個人Googleアカウント不正アクセス事件の概要と背景、発生した原因を詳しく解説する

2025年末から2026年初頭にかけて、東京都立大学の経営学研究科に所属する教員が、自身で取得して使用していた個人のGoogleアカウントに対し不正な侵入を受けました。このアカウントには大学関連の業務情報や連絡先などが保存されており、攻撃者はそこから情報を引き出そうとしたと見られています。背景には、大学の業務で個人のクラウドサービスを利用する慣習や、公式システム外での情報やりとりがあった可能性があります。こうした環境下で発生した今回の不正アクセス事件は、大学関係者に大きな衝撃を与え、情報管理の在り方を問い直す契機となりました。

個人情報流出の可能性が疑われてから東京都立大学が公式に公表し謝罪するまでの詳細な経緯と情報共有の過程

不正アクセスが判明したのは2026年1月初旬のことでした。教員のアカウントから学内外に不審なメールが送信されたことを受け、大学内部で調査が開始されます。調査の結果、教員のGoogleアカウントが乗っ取られ、アカウント内のデータにアクセスされた形跡が見つかりました。大学は個人情報流出の可能性が高いと判断し、1月7日に第一報として事件の概要と判明している被害状況を公表します。公表内容には、約180件の個人情報が流出した可能性があること、現在調査中であること、そして関係者へ深く謝罪する旨が含まれていました。その翌日にはさらなる調査結果を踏まえた第二報が発表され、大学は逐次情報を共有しながら被害拡大防止に努めました。

経営学研究科所属の教員が個人アカウントを狙われた理由とは何か、その背景にある要因を分析して考察してみる

今回標的となったのは、経営学研究科に所属する教員でした。なぜ彼の個人アカウントが狙われたのか、いくつかの要因が考えられます。第一に、この教員は大学主催のイベントや入試関連の情報を個人アカウントで管理しており、多数の個人情報データを扱っていたことが推測されます。攻撃者にとって、そのようなアカウントは高い価値を持ち、狙う動機となった可能性があります。第二に、海外の研究者とのやり取りが頻繁にあり、外部との接点が多かった点も背景として考えられます。国際的な共同研究や交流を装うことで、攻撃者は警戒心を下げて不正アクセスへの道を開いたのかもしれません。さらに、大学の情報セキュリティポリシーにおいて教員の個人アカウント使用が厳密に管理されていなかったことも、狙われやすさに影響したと考えられるでしょう。

事件発覚のきっかけとなった教員アカウントからの不審メール送信の詳細と、そのメール内容に含まれていた情報

事件が発覚する直接のきっかけは、当該教員のGoogleアカウントから複数の宛先へと送信された不審なメールでした。2026年1月7日、学内の関係者に「ドキュメントを共有します」という趣旨のメールがその教員名義で届きました。しかし送信された教員本人には心当たりがなく、メールの宛先に含まれていた他の教職員から大学のIT部門に問い合わせが入ります。この不審メールの内容は、一見すると研究資料の共有を装っており、メール内のリンクをクリックさせることでさらに被害を広げようとする典型的なフィッシングメールの形式でした。メール本文には丁寧な英語での依頼文とともにクラウド上のドキュメントへのリンクが記載されており、受信者が疑いを持ちにくい巧妙な内容だったことが分かっています。このような不審メールの存在が通報され、大学側が調査に乗り出したことで不正アクセスが明るみに出ました。

東京都立大学による初動対応と関係者への注意喚起、被害拡大防止のための緊急措置と情報共有の実施状況について

事件が判明した直後、東京都立大学では緊急の初動対応チームが立ち上げられました。まず、被害を受けた教員のGoogleアカウントに対してアクセス遮断などの措置が取られ、攻撃者の侵入経路を断つ対応が行われました。同時に、学内の全教職員に対して注意喚起のメールが送信され、類似のフィッシングメールを受信していないか確認するよう呼びかけています。また、個人情報が含まれている可能性のあるファイルやメールが外部に流出した疑いがあるため、関係する学生やイベント参加者などには順次大学から注意喚起と謝罪の連絡が行われました。大学公式ウェブサイト上でも1月7日付で「個人情報流出の可能性に関するお知らせ」と題した声明を掲載し、経緯と対応状況を公表しました。これら初動対応と情報共有の素早さは、被害の拡大防止に一定の効果を果たしたといえます。

フィッシングメールで教員のGoogleアカウント情報が窃取され、不正アクセスが発覚した経緯ときっかけ

それでは、この不正アクセス事件がどのように発生したのか、具体的なフィッシング攻撃の手口と発覚までの流れを詳しく見ていきましょう。攻撃者はまず教員をだましてアカウントの認証情報を盗み取り、その後しばらくは発覚しないよう静かに活動していたようです。教員のアカウントから社内外に不審メールが送られたことで事件が表面化しましたが、それまでには約1か月もの“空白期間”がありました。この間に攻撃者は何をしていたのか、そしてなぜ発見が遅れたのかを解明することは、今後の対策にとって重要です。

海外の研究者から届いたように装うフィッシング攻撃の手口とその狙い、教員に不審を抱かせない巧妙な工夫があった

この事件の発端は、2025年12月初旬に当該教員が受信した一通のメールでした。それは、さも海外の著名な研究者から送信されたかのように見せかけた内容で、件名も「共同研究のご提案」や「論文草稿の共有」といった興味を引くものでした。攻撃者の狙いは明白で、教員にメールを開封させ、添付リンクをクリックさせることでした。メールの送信元アドレスは、一見すると実在する海外研究者のもの（おそらく既に乗っ取られたアカウント）であり、教員が不審に思わないよう巧みに仕組まれていました。メール本文でも「先日のカンファレンスでお会いした」「あなたの研究に興味がある」などと親しげな言葉が並び、受信者の警戒心を緩める巧妙な手口が随所に見られました。このようになりすましの工夫によって、攻撃者は教員を油断させ、次の段階である認証情報の窃取へと誘導したのです。

教員がフィッシングメールの誘導によりGoogleアカウントの情報を入力してしまった経緯と心理的要因を分析

攻撃者はメール内に「資料をご確認ください」といったメッセージとともにURLリンクを記載していました。そのリンクをクリックすると、Googleドライブやオンラインストレージのログイン画面を模したフィッシングサイトが表示される仕組みでした。教員は共同研究の資料閲覧だと思い込み、そこで自分のGoogleアカウントのメールアドレスとパスワードを入力してしまったと考えられます。なぜこのような誘導に引っかかってしまったのか、心理的要因を分析すると、送り主が実在の研究者名だったことで信頼してしまった点が大きいでしょう。「海外の著名な先生からの依頼だから」と油断が生まれ、本来であれば注意すべきログインページを疑わずに情報を入力してしまったのです。また、年末の多忙な時期だったこともあり、細部に注意を払う余裕がなかった可能性も指摘できます。このように、攻撃者の誘導と受信者側の心理的隙が重なった結果、アカウント情報の入力というミスが起きてしまいました。

Googleアカウントの資格情報がフィッシングによって窃取される具体的な手口とそのプロセス、攻撃者の手法を解説

フィッシングメールにより教員が入力してしまったアカウント情報（メールアドレスとパスワード）は、攻撃者の用意した偽のログインページを通じて即座に攻撃者側に送信されました。この資格情報の窃取プロセスは自動化されており、入力と同時に攻撃者のサーバーに保存されます。攻撃者はその情報を使って教員のGoogleアカウントに正規の利用者になりすましてログインしました。Googleアカウントは2段階認証などの保護が無かったのか突破され、攻撃者はメールやドライブ内のデータに自由にアクセスできる状態となりました。一般的な攻撃手法として、フィッシングで取得したアカウントで即座にメールボックスにログインし、メール転送設定を変更したり、内部の連絡先リストを取得するといった動きが取られます。今回も同様に、攻撃者は入手した情報をもとにさらなる攻撃計画を立て、最終的には他の関係者を騙す二次的なフィッシングメール送信へと踏み切ったものと見られます。この一連の手口は近年増えている標的型攻撃の典型であり、大学のように多数の人々が関わる組織では特に注意が必要です。

教員アカウントからの不審メール送信により不正アクセスが判明した過程と、内部からの通報が果たした役割について

攻撃者は教員アカウントの乗っ取りに成功した後、しばらく潜伏していたと考えられます。しかし最終的には、前述のように乗っ取った教員アカウントから複数の受信者に向けて不審なメールを送り出しました。2026年1月7日に発信されたそのメールは、学内の複数の教職員や関係者に届き、内容に心当たりがない受信者が情報システム担当部署へ連絡します。この内部通報がきっかけとなり、大学側は教員のアカウントで異常な活動が起きていることを把握しました。通報後の調査では、該当教員のメール送信ログに通常ではありえない一斉送信の履歴が残っていたこと、さらに教員本人が「自分は送っていない」と証言したことで不正アクセスが確定的になりました。内部からの迅速な報告と、IT担当者がすぐ調査に動いたことで、攻撃者の活動はメール送信という形で露呈し、大事に至る前に認知される結果となりました。

早期発見を妨げた要因と不正アクセスが見過ごされた約1か月間の空白期間中の状況や攻撃者の動向、システム監視の課題

今回のケースでは、攻撃者が教員のアカウント情報を盗み取ったのが2025年12月初旬、実際に不正アクセスが発見されたのが2026年1月7日でした。この間、約1か月もの空白期間が存在しています。早期発見を妨げた要因の一つには、攻撃者がアカウントを乗っ取った後、すぐには目立つ行動を起こさず潜伏していたことが挙げられます。教員本人も自分のアカウントに異変が起きていることに気付かず、通常通りに使用していた可能性があります。また、個人のGoogleアカウントであったため、大学のシステム管理者が異常を検知する仕組みがありませんでした。組織の公式アカウントであればログイン履歴の監視や不審な動きに警告を発することもできますが、個人アカウントではそうしたシステム監視の課題が浮き彫りとなりました。攻撃者は空白期間中にアカウント内の情報を収集・整理したり、次の攻撃（不審メール送信）の準備を進めたりしていたと推測されます。結果として、この1か月の間に被害が広がっていた可能性もあり、早期に気付けなかったことが悔やまれます。

流出した可能性がある個人情報の範囲と件数、イベント申込者情報から入試関連情報まで最大423件に上ることが判明

大学側の調査が進むにつれ、教員のアカウントから流出した可能性がある個人情報の範囲と件数が次第に明らかになってきました。初動時点では「約180件」とされた被害規模が、その後の精査で大幅に拡大しています。教員のアカウント内には複数年にわたるイベント参加者名簿や入試関連の情報が保存されており、それらが漏えいした可能性があることが判明しました。最終的には最大423件という数の個人情報が影響を受けた可能性があると報告されています。この章では、具体的にどのような情報が何件流出の恐れがあるのか、その内訳と内容について詳しく見ていきます。

学内イベント申込者等の個人情報：約180件が流出した可能性（2017～2024年度開催イベント参加者データ）

まず明らかになったのは、東京都立大学 経済経営学部・経営学研究科が2017年度から2024年度に開催した各種イベントの参加申込者等の個人情報です。その数は約180件にのぼります。例えば、2017年度に実施された学内講座の受講申込者や、2023年度に開催されたシンポジウムの参加者、さらには大学院入試説明会への申込者の情報などが含まれていました。これらのデータは教員がイベント運営の目的でメールに添付してやり取りしていたリストや、個人的に保管していた申込フォームの結果などだったとみられます。記載されていた内容は氏名、所属、学年、メールアドレス、電話番号など多岐にわたり、各イベントによって情報項目は異なりますが、参加者に関する基本的な個人情報が含まれていました。2017年度から直近年度まで長期間にわたるイベントデータが対象となっていることから、教員のアカウント内にそうした情報が長期保存されていた実態が浮かび上がっています。

経営学研究科の入試関連個人情報：新たに249件の流出可能性が判明（2020～2025年度入学者データ）

第一報発表の翌日に大学が公表した第二報では、新たに入試関連の個人情報が漏洩した可能性が判明したことが明かされました。これは経営学研究科の入学試験に関する情報で、2020年度から2025年度にかけての入試合格者や入学予定者向けプログラム参加者のデータ249件に上ります。具体的には、2020年度および2021年度に実施された入学予定者向けプログラムの参加者名簿や、2022年度以降の各年度の経営学研究科入試合格者リストなどです。これらの情報には氏名、合格したプログラム名、連絡先、勤務先といった項目が含まれていたとされています。大学側は当初、こうした入試関連のデータが流出対象に含まれるとは想定しておらず、第一報では触れていませんでした。しかし詳細な調査を進める中で、教員のメールボックスに入試関連の連絡や受験生情報が残っていたことが判明し、被害範囲に追加された形です。結果として、当初想定よりも大幅に広い範囲で個人情報が危険にさらされていたことが明らかになりました。

重複分を除き合計423件に：流出した可能性がある個人情報の総数と実際に影響を受けた可能性のある人数が特定

イベント申込者約180件、入試関連情報249件と聞くと単純合計で429件になりますが、一部同一人物が両方に含まれているケースがありました。大学の調査によると、イベント参加者データと入試合格者データの間で6件の重複が確認され、重複を除いた実数では423件の個人情報記録が流出した可能性があるとされています。つまり影響を受けた可能性のある関係者は延べ423名ということになります。この人数がそのまま情報漏洩の被害者となる可能性があるため、大学ではそれぞれの対象者に対して個別に連絡を取り、状況の説明と謝罪を行いました。423名という規模は大学にとっても重大な事態であり、現在判明している限りこれが最大の被害範囲とされています。ただし幸いなことに、423件の中で特にセンシティブな情報（例えばマイナンバーや成績評価など）は含まれていないとされていますが、名前・連絡先といった基本情報だけでも漏れれば悪用されるリスクはあるため油断できません。

流出した可能性のある個人情報の内容：氏名や連絡先、所属や学籍番号など含まれる項目の詳細とその範囲について

流出の可能性がある423件の個人情報には、具体的にどのようなデータ項目が含まれていたのでしょうか。大学の発表によれば、イベント参加者や入試合格者のリストには以下のような情報が記載されていました。氏名、メールアドレス、電話番号といった連絡先情報はもちろん、大学の場合は学籍番号や所属学部・研究科、学年など学籍に関する情報も含まれます。さらに、社会人学生や関係者の場合は勤務先や役職、年齢層といったデータも記載されていたケースがあるとのことです。ただし、すべての対象者が全項目を含んでいるわけではなく、イベントや年度によって収集項目は異なります。例えば、あるシンポジウム参加申込では所属と氏名のみだったり、入試説明会では住所まで取得していたりと様々です。いずれにせよ、基本的な個人特定に繋がる情報が漏洩している可能性が高く、これらが外部に出回ればフィッシング詐欺やなりすましといった二次被害にも利用されかねない内容です。そのため大学側も対象者に対し、見知らぬ相手からのメールや電話に十分警戒するよう注意を促しています。

現時点で確認されている被害状況：実際に個人情報が外部に流出したかや悪用された事例の有無、現時点での大学の見解

423件もの個人情報が流出した「可能性」があるとはいえ、それがすべて実際に外部へ漏洩したかどうかは別問題です。東京都立大学の発表によれば、現時点で実際の情報流出や悪用の具体的な事例は確認されていないとのことです。つまり、攻撃者が教員のアカウントにアクセスした痕跡はあるものの、そこから情報が第三者にばらまかれたり、不正に利用された証拠は今のところ見つかっていません。攻撃者の目的が何であれ、情報そのものの売買や公開といった行為には至っていない可能性があります。ただし大学は「現時点での確認」であることを強調しており、今後の調査で被害状況が変わる可能性も否定できないとしています。被害者となりうる学生・関係者からの問い合わせにも対応し、継続して状況を監視する姿勢を示しています。また、警察など捜査機関とも連携して情報流出の有無を調査中であるとの見解も示されました。大学側は、今回の件で実害が出ていないからといって安心せず、今後同様の事態が起こらないよう万全を期すとコメントしています。

都立大による個人情報流出の可能性公表と謝罪、標的となった経営学研究科教員のGoogleアカウントへの攻撃

教員のアカウント不正アクセスが判明した後、東京都立大学（正式には東京都公立大学法人）は迅速に情報を取りまとめ、公表と関係者への謝罪を行いました。第一報ではお詫びと共に発覚した事実関係が説明され、翌日の第二報では被害状況の詳細と今後の対策が示されています。このセクションでは、大学による公表内容や謝罪の要旨、標的となった教員の詳細、そしてこの事件が示した大学の情報セキュリティ上の課題について述べます。大学側の対応を振り返ることで、組織としての危機管理のポイントが見えてきます。

東京都立大学による情報流出可能性の公表と謝罪の発表内容、第一報で明らかにされた事実と大学の対応方針について

2026年1月7日、不正アクセスの事実が確認された当日、東京都立大学は公式ウェブサイト上で「不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ」と題する声明文を公開しました。ここには、今回の事件がどのように発生し、大学が把握した被害状況がどうであるかが詳しく記載されています。大学はまず、「本学教員の個人Googleアカウントが不正アクセスを受けた」ことと、「その結果、本学関連の個人情報が外部に流出した可能性がある」ことを認めています。そして、関係者および社会に対し深くお詫びすると明言しました。第一報で明らかにされた事実としては、前述の約180件の個人情報が流出した可能性があること、それらが学内イベントの参加者情報であること、現時点で詳細を調査中であることなどです。また大学の対応方針として、引き続き調査を進め判明した情報は速やかに公表すること、関係者への個別連絡を行うこと、再発防止策を早急に講じることが宣言されています。声明文の中では具体的な対策こそまだ示されていませんが、「全学的に情報セキュリティ体制を見直す」といった表現で、組織として抜本的な改善に取り組む意志が示されました。

第一報で公表された個人情報流出の可能性：約180件という数字の意味とその時点で判明していた範囲、大学の説明内容

第一報で大学が公表した「約180件」という数字は、当初判明していた流出可能性のある個人情報の件数を指しています。これは前述したとおり、学部・研究科主催イベントの参加者情報が中心でした。この数字の意味について大学は、現時点で確認できた範囲の人数を慎重に見積もったものだと説明しています。「約」と付いているのは、調査中ゆえに誤差があり得るとの注釈でした。実際、その翌日に入試関連情報の249件が追加判明したことからもわかるように、180件は氷山の一角に過ぎませんでした。当初大学は180件という数字を公表する際、「更なる調査で変動する可能性がある」と明言しつつ、それが確認されている事実であることから隠さずに公開しています。またこの時点で判明していた範囲として、対象は学内イベントの参加申込者情報（2017年度～2024年度に実施）であることが述べられました。一方、入試関連データについては第一報には含まれておらず、この点について大学は「当初はそこまで把握できていなかったためで、隠蔽ではない」と後に釈明しています。大学の説明内容は、できるだけ正確に、しかし迅速に情報を出そうという姿勢が伺えるものでした。

標的となった教員の所属（経営学研究科）と個人アカウントの利用状況、大学業務に個人アカウントが使われていた実態

今回標的となった教員は東京都立大学 経営学研究科の教員であり、大学院の経営学研究科に関連するイベント企画や入試業務にも関わっていたと見られます。彼が利用していたGoogleアカウントは大学から提供されたものではなく個人で取得したアカウントで、メールアドレスも「@gmail.com」のような個人用ドメインでした。しかし実態として、この個人アカウントが大学業務にも頻繁に使われていたことが事件から浮き彫りになりました。例えば、イベント参加者の募集や案内を行う際に個人アカウントのGoogleフォームやスプレッドシートを活用していた可能性があります。また、入試合格者への案内メールなど公的な連絡も、利便性から個人アカウントで送受信していたケースがあったのかもしれません。大学業務に個人アカウントを用いること自体、本来は情報管理上望ましくありませんが、現場の判断や使い勝手の良さから黙認されていた部分があったと推測されます。この実態が今回露呈したことで、大学は公式のアカウント・システムに業務を集約し、個人アカウントの使用を減らす必要性を痛感する結果となりました。

個人Googleアカウントが狙われたことが示す大学のセキュリティ上の脆弱性、内部の情報管理体制の課題

大学教員の個人Googleアカウントがサイバー攻撃の標的となり、実際に侵入を許してしまったことは、大学の情報セキュリティにおける盲点と脆弱性を示しています。一つには、組織として管理できない領域（＝個人アカウント）に重要情報が置かれていたため、組織的な防御策が働かなかったことが挙げられます。企業や大学では通常、公式メールアドレスやクラウドサービスに対してセキュリティポリシーを適用し、パスワードの定期変更や多要素認証の義務化などを行います。しかし個人が勝手に使っている外部サービスのアカウントは監視や統制が及ばず、まさに無防備な状態でした。攻撃者はこの弱点を突いたわけです。内部の情報管理体制の課題としては、教職員が個人アカウントに業務情報を保存・共有することを暗黙のうちに許していた文化やルールの不明確さがあります。本件を受け、大学は「個人アカウントに業務データを置かない」「公式システムを必ず使用する」といった原則を改めて明示し、徹底する必要に迫られています。また、情報セキュリティ研修等でこうしたリスクを教職員に周知していなかった点も反省材料でしょう。今回の事件は、単なる個人のミスではなく大学全体の情報管理体制の穴を突かれたものであり、組織的な課題として捉え直す必要があります。

関係者への連絡と再発防止策：大学の危機管理対応と今後の約束、影響を受けた人々への説明とサポート体制の構築

事件発覚後、大学は速やかに関係者への連絡とケアを開始しました。流出の可能性がある情報に含まれていた学生、卒業生、イベント参加者など一人ひとりに対し、メールもしくは電話で状況説明と謝罪が行われました。同時に、万が一個人情報が悪用された場合の相談窓口も設置されています。大学の危機管理対応として、担当部署を横断する対策チームが組まれ、再発防止策の検討に着手すると公表されました。再発防止策については後述しますが、「全学的な情報セキュリティ強化」をキーワードに、システム面・教育面の両方からアプローチする方針が示されています。加えて、今回影響を受けた可能性のある人々へのフォローアップとして、定期的な状況報告や必要に応じた支援も約束されました。例えば、「万一、不審な連絡が来たら大学に報告してください」「被害が生じた場合は大学がサポートします」といった形で、被害者の不安を軽減する体制を打ち出しています。大学はこの事件を非常に重く受け止め、「二度と同じことが起こらないよう万全を期す」と宣言するとともに、関係者に対して信頼回復に努める決意を表明しました。

海外研究者を装う巧妙なフィッシング手法が大学教員を直撃、その攻撃の実態と被害拡大の経緯が明らかになる

今回の不正アクセス事件の背後では、高度に計画された標的型フィッシング攻撃が行われていました。攻撃者は海外の研究者を装って接近し、巧みに教員の信用を得てからアカウント情報を盗み出しています。このような手口は近年、研究機関や大学を狙ったサイバー攻撃として報告例が増えています。本セクションでは、攻撃者がどのようにフィッシングメールを送り付け、なりすましを行ったか、その実態に迫ります。また、大学教員がなぜ標的にされやすいのか、他の大学でも起きている類似の攻撃事例や、信頼する相手からのメールに潜む危険性についても取り上げます。攻撃の全貌を把握することで、同種の被害を防ぐ手掛かりを探ります。

海外研究者の正規アカウントが悪用された可能性：フィッシングメールの送信元の正体と攻撃者の手口、その背後にある戦略

フィッシングメールの送信元として使われたのは、「海外の研究者」の名前とメールアドレスでした。大学側の調査では、この送信元メールアドレスは実際に海外の大学に所属する研究者のものである可能性が高いことがわかっています。つまり、攻撃者はすでに別の被害者である海外研究者のアカウントを乗っ取り、それを踏み台にして日本の大学教員にメールを送りつけた可能性があります。この手口は「攻撃の連鎖」ともいえ、単発のフィッシングではなく複数のターゲットを転々と狙う戦略が見て取れます。送信元が正規のものですから、受信した側は「以前に交流のあった先生だ」と疑いにくくなります。攻撃者の背後にある戦略は、信頼できる第三者を偽装することで防御をすり抜けることにありました。また、メールシステムによっては、正規のドメインから送られてくるメールは迷惑メールと判断しにくいため、技術的にも検知を回避できます。攻撃者はこうした点を熟知しており、周到に計画を練ってフィッシングメールを送信していたのです。

巧妙ななりすましメールの内容：研究交流を装い教員の警戒心を緩めた手法とメッセージの特徴、添付リンクの誘導先

フィッシングメールの本文には、受信者の警戒心を解くためのさまざまな工夫が盛り込まれていました。その一つが「研究交流を装う」手口です。具体的には、「以前あなたの論文を拝見しました」「ぜひ共同研究を検討したい」など、学術的なコンタクトとして自然な内容が書かれていました。こうしたメッセージの特徴は、相手の関心をくすぐりつつもすぐに行動を求めない点です。いきなりリンクをクリックさせるのではなく、「興味を持ったのであなたの研究概要を共有してほしい」と誘導する形で、添付リンクへのアクセスを促します。このリンクは一見Googleドライブの共有リンクのように見せかけてありましたが、実際にはフィッシングサイトへのURLでした。メールの文面は丁寧で礼儀正しく、専門用語も交えてあり、本物の研究者からのメールにそっくりでした。教員が英語のメールに慣れている点も考慮し、不自然な点がないよう注意深く書かれていたことが推測されます。こうした巧妙なメール内容によって、受信者は「これは詐欺かもしれない」という疑念を抱くことなくリンクをクリックし、攻撃者の罠にはまってしまったのです。

大学教員が標的となる理由：研究者ネットワークを狙うサイバー攻撃の背景と大学特有のセキュリティ課題、研究データへの興味

大学教員や研究者がサイバー攻撃の標的となるケースは、近年増加傾向にあります。その背景にはいくつかの理由が考えられます。まず、大学には新しい技術情報や知的財産となり得る研究データが蓄積されており、攻撃者にとって魅力的なターゲットです。特に経営学研究科のような領域では企業との共同研究や重要な統計データを扱うこともあり、そうした情報を盗み出そうという動機が攻撃者側にあります。次に、大学教員は国際的な研究者ネットワークに属しており、海外からの連絡も日常的に行われるため、なりすましメールが混じっていても不自然に感じにくいという状況があります。また、大学のセキュリティ課題として、教員一人ひとりが独立性高く活動し、統制が緩やかな場合が多いことが挙げられます。企業であればIT部門が全端末を管理・監視するところ、大学では教員の裁量でツールを使わせていたり、個人端末で研究していたりするため、組織的な防御が難しいのです。攻撃者はこのような大学特有の事情を熟知し、比較的セキュリティの甘い個人アカウントや装置を狙ってきます。さらに、研究者個人の信用（信用された人物になりすますことで周囲にも感染を広げやすい）も利用し、ネットワーク全体に侵入する足がかりにします。結果として、大学という環境は一度狙われると被害が拡大しやすい土壌があり、今回の事件もまさにその典型だと言えるでしょう。

海外・国内で増加する研究者装う攻撃事例：学術機関を狙ったフィッシングの動向と過去の被害例、他大学での類似事件

学術機関や研究者を狙ったフィッシング攻撃は、東京都立大学に限った話ではなく、海外・国内を問わず発生しています。海外では大学の学長や教授になりすまして研究費支払いを詐取しようとするメールが出回った例や、研究者のメールアカウントを乗っ取ってその人の共同研究者へマルウェア付きメールを送る事件などが報告されています。国内でも、他の大学で教員のメールアカウントが乗っ取られ、学生に不審なメールが送られる類似事件が起きています。これらの攻撃事例は年々増加傾向にあり、特にコロナ禍以降リモート交流が増えたためにメールやオンラインでのやり取りが主流になったことも一因です。学術機関を狙ったフィッシングの動向として、攻撃者は論文閲覧サイトや学術SNSでターゲットの情報を収集し、人間関係や研究テーマを把握した上でフィッシングメールを仕掛けるという、高度なソーシャルエンジニアリング手法を駆使しています。他大学の被害例でも、特定分野の研究グループ全員に同じメールを送り、一人でも引っかかったら連鎖的に全体へ侵入する、といった計画性が伺えます。今回の都立大の事件も、広い目で見ればそうした世界的な攻撃トレンドの中で起きたものであり、単発の偶発的事件ではなく同種の攻撃が今後も続き得ることを念頭に置く必要があります。

信用できる相手からのメールに潜む危険：セキュリティ意識の盲点と対策、信頼関係を悪用した攻撃への注意喚起

フィッシング対策の鉄則は「不審なメールやリンクを不用意に開かない」ですが、今回のように一見信用できる相手から来たメールの場合、その鉄則が揺らいでしまいます。人は知人や著名人からの連絡だと疑いを持ちにくいものです。このセキュリティ意識の盲点を攻撃者は巧みに突いてきます。信頼関係を悪用した攻撃に対抗するには、組織として二重三重のチェック体制を設けることが重要です。例えば、どんなに信頼できる差出人でも、重要な情報を入力させるURLが含まれていたらIT担当部署に相談するルールを作る、メールの送信ドメインが本物かどうか検証するツールを導入する、といった対策が考えられます。また、受信者側も常に「本当に本人からのメールか？」と疑う習慣をつけることが大切です。今回のケースを踏まえ、大学では教職員や学生に対して「信頼できる送信者でも内容を鵜呑みにしないで」と注意喚起を行っています。特に、ログインを促すメールや添付ファイルには細心の注意を払い、メールアドレスの微妙な綴り違い（偽ドメイン）などにも目を凝らすことを推奨しています。このように、誰から来たメールであっても一歩引いて確認する習慣と組織のサポート体制が、今後の被害抑止につながるでしょう。

過去の送受信メールにも及ぶ不正アクセスの影響範囲、複数年度にわたる個人情報流出の懸念が指摘されている

今回の教員アカウント不正アクセスによる影響は、単に特定のファイルや名簿が漏れた可能性に留まりません。攻撃者は教員のメールボックス自体にアクセスできたため、そこに保存されていた過去数年分の送受信メールの内容や添付ファイルまでもが閲覧・取得されてしまった恐れがあります。これにより、想定以上に広範囲かつ長期間の情報が流出した可能性が浮上しました。本セクションでは、過去のメールデータが漏洩対象になっている点、複数年度にわたり蓄積された情報管理の問題、さらに漏洩情報が他の関係者に波及してしまうリスクについて考察します。被害の潜在範囲がどこまで広がり得るのかを知ることは、今後の対策強化において重要です。

過去のメール内容も漏洩対象：教員が過去に送受信したメール情報（本文・添付ファイル・連絡先データ）が含まれる可能性

不正アクセスにより攻撃者が手に入れた可能性がある情報の中には、教員がこれまでにやり取りしたメールの内容そのものも含まれます。大学の発表によれば、教員のアカウント内の過去のメール本文や添付ファイル、さらにメールに記録されている送信元・宛先の連絡先データなども漏洩した可能性が否定できないとのことです。例えば、教員が学生と交わしたメールや、学外の研究者とやり取りしたメール、あるいは自身宛てに受信した履歴など、多くの情報がアカウント内には蓄積されています。攻撃者はそれらにアクセスして内容を読み取ったり、添付されていた資料をダウンロードしたりしたかもしれません。メールには個人情報だけでなく、会議の議事録や研究データ、試験問題のドラフトなど様々な機密情報が含まれる可能性があります。したがって、今回の不正アクセスは単に特定のリストが盗まれたというより、メールボックス全体が丸ごと侵害されたという見方もでき、影響範囲は非常に広範です。

保存されていた添付ファイルや連絡先情報：アカウント内のデータが漏洩した場合に懸念されるリスク

教員のメールアカウント内には、多数の添付ファイルが保存されていたでしょう。講義資料や成績表、会議資料、さらには学生からのレポートなど、さまざまなファイルがメールに添付された状態で残っているケースは珍しくありません。もしそれらが攻撃者に閲覧・取得されていた場合、その内容次第では個人情報以外にも深刻な情報漏洩となり得ます。例えば、会議資料に他の職員の個人情報や内部情報が含まれていれば二次的な被害が広がります。また、連絡先情報（アドレス帳）も漏洩した可能性があります。メールシステム上にはこれまでにメールをやり取りした相手先のメールアドレスが自動的に蓄積されていることが多く、攻撃者はそれをダウンロードすれば大学関係者の広範な連絡網を把握できてしまいます。そうなると、今後その連絡先を用いたさらなるフィッシング攻撃が懸念されます。つまり、アカウント内データが漏洩した場合のリスクとして、個人情報流出だけでなく、内部文書の流出や、攻撃対象リストの流用による新たな攻撃の可能性など、様々な懸念が出てくるのです。

2017年度以降のイベント情報や入試情報が含まれていた理由：長期間にわたるデータ蓄積の背景と要因

なぜ2017年度といった何年も前のデータまで今回の漏洩対象に含まれていたのでしょうか。その理由は、教員が自身のメールボックスやクラウドストレージにデータを長期保管していたことにあります。大学のイベント申込者リストや入試合格者リストは、本来であれば年度ごとに整理・削除されたり、学内の安全なストレージに移管されたりすべきものです。しかし、教員個人が管理していたために、過去数年分のデータがそのまま残されていた可能性が高いです。背景には、「後で参考になるかもしれない」「念のため取っておこう」という心理や、組織としてデータ削除のルールが徹底されていなかった要因が考えられます。特に入試関連情報などは、同じ教員が長年担当していると前年以前のデータを引き継いで使うケースもあり、前例を引っ張り出すためメールボックスに残していたのかもしれません。こうした長期間のデータ蓄積は、便利ではありますがリスクも大きく、万一アカウントが侵害されると一度に何年分もの情報が漏れてしまう結果となります。今回の事件は、過去のデータ整理や削除がきちんと行われていなかったことも被害拡大の一因だったと言えるでしょう。

複数年度にわたるデータ管理の問題点：個人アカウントで保管されていた情報のリスクと課題

複数年度にわたるデータが教員の個人アカウントに保存され続けていたことから、データ管理上の問題点が浮かび上がります。第一に、個人に任せたデータ管理は属人的で、引き継ぎや整理がされないまま蓄積してしまう傾向があります。今回も、教員本人の裁量で必要な情報を残していたのでしょうが、その判断がセキュリティリスクを生んでしまいました。第二に、組織としてのガバナンスが及ばない領域に重要情報が散逸していたことです。個人アカウント内の情報は、情報システム部門がバックアップ状況やアクセス制限を把握できません。このためリスク評価もできず、対策の打ちようがないまま放置されていました。さらに課題として、古いデータほど情報の機密性への感度が下がり、「昔のデータだから問題ないだろう」と削除せず放置するケースがある点が挙げられます。しかし実際には、昔のデータであっても氏名や連絡先が含まれていれば十分個人情報ですし、積み重なれば大量の記録となります。今回の件では、2017年度以降のデータが残っていたことで被害件数が大きく膨らみました。この教訓から、定期的なデータクリーンアップや、個人アカウントに業務データを長期保存しないルール作りなど、データ管理の厳格化が課題として浮上しています。

他の関係者への波及リスク：流出した情報を元にした二次被害の可能性を考察

最後に懸念されるのが、今回流出した可能性がある情報を元にした二次被害のリスクです。攻撃者が入手した個人情報には、学生や参加者の連絡先が含まれています。これらの人々は、今後攻撃者から直接別のフィッシングメールや詐欺の標的にされる可能性があります。例えば、「東京都立大学の◯◯教授と共同研究することになった」などと装い、その学生に連絡を取ることも考えられます。また、入試合格者の情報が漏れていれば、「入学手続きに不備があった」などと偽って金銭を騙し取る詐欺も起こり得ます。さらに、メール内容が盗まれていれば、そこに書かれたプライベートな話題を利用したソーシャルハック（人間関係に踏み込んだ詐欺）も懸念されます。大学側は、現時点でそうした二次被害の報告はないとしつつも、関係者全員に「怪しい連絡が来たら大学に相談を」「不審な要求には応じないように」と警告しています。今回の事件で漏れた情報がどこまで悪用されるかは不透明ですが、攻撃者側に一度渡ってしまった情報は取り戻せません。したがって、今後少しでも不審な動きがあれば即座に対処できるよう、大学と関係者が連携して注意深く状況を監視していく必要があります。

東京都公立大学法人が再発防止策の検討に着手、全学的な情報セキュリティ強化への取り組みを推進する方針を表明

事件を受けて、東京都立大学を運営する東京都公立大学法人は再発防止に向けた対策の策定に動き始めました。今回の不正アクセスが明るみに出たことで、大学全体の情報セキュリティ体制を見直す必要性が強く認識されたからです。被害の発覚直後から学内では緊急点検や教職員への注意喚起が実施され、同時に中長期的な改善策の検討も進められています。このセクションでは、大学法人が表明した再発防止策の方向性と具体的な取り組みについて説明します。全学的な観点からのセキュリティ強化、教職員教育の徹底、個人アカウント利用ルールの見直しなど、多岐にわたる施策が議論されています。これにより、再び同様の事件が起こることを防ぎ、大学関係者の安心・信頼を取り戻すことが期待されています。

不正アクセス発覚後に大学法人が実施した調査と被害拡大防止策、緊急対応チームの設置

不正アクセスが発覚した直後、大学法人は学内に緊急対応チームを設置し、速やかに被害状況の調査を開始しました。このチームには情報システム部門の職員や研究科の事務職員、場合によっては外部のセキュリティ専門家も加わり、状況把握と初期対応にあたりました。具体的な対策として、被害教員のアカウント周辺のログ調査や、類似の手口で他の教員アカウントが攻撃されていないかの確認が行われました。また、攻撃者がアクセスしたと見られるGoogleアカウント内のデータについても網羅的に洗い出し、流出の可能性があるファイルや情報をリストアップしました。これらの調査結果は逐次大学執行部に報告され、1月8日の第二報公表時にはその時点で判明している内容をすべて盛り込む形となりました。被害拡大防止策としては、関連しそうなシステムのパスワードを変更させたり、当該教員と連絡を取って接触先に注意喚起を依頼したりと、多面的な対応がとられました。加えて、法人全体で情報共有を密にし、学生や保護者からの問い合わせにも的確に答えられる体制を整えています。こうした緊急対応により、二次被害の兆候を早期に察知し封じ込める態勢ができました。

全学的な情報セキュリティ緊急点検：他のアカウントやシステムの脆弱性確認を徹底

事件後、大学法人は全学的な情報セキュリティ緊急点検を実施しました。具体的には、学内で使用されている他の教職員アカウントやシステムに同様の脆弱性や異常がないか総点検したのです。例えば、他の教員も個人のクラウドアカウントで業務データを扱っていないか調査し、該当する場合は早急に大学提供の公式アカウントへ移行するよう促しました。また、学内ネットワークやサーバへの不審アクセスが過去になかったかログを洗い出し、怪しい兆候がないか確認が行われました。メールシステムについても、外部からの大量メール送信や転送設定の異常などを監査しています。さらに、全教職員に対して自分の利用しているPCやサービスのパスワード管理状態やウイルススキャン結果を自己点検するよう依頼しました。これらの緊急点検により、万が一他にも潜在的な攻撃が進行中であったとしても、早期発見・対処できる体制が敷かれました。幸いなことに現時点では他のアカウント侵害は見つかっていないようですが、今回のケースを教訓に、定期的な点検を今後も継続する方針です。

教職員への注意喚起とセキュリティ研修の強化：再発防止に向けた啓発策の実施

再発防止策の柱の一つとして、教職員に対するセキュリティ意識の向上が掲げられています。事件直後、全教職員宛に注意喚起のメールが送られただけでなく、臨時の情報セキュリティ講習も開催されました。この講習では、今回の攻撃手口の解説や、フィッシングメールの見分け方、個人情報の取り扱いに関する基本ルールなどが改めて説明されています。特に、今後は「公的なデータは必ず大学提供のシステムを使うこと」「不審なメールは必ずIT担当者に報告すること」といったルールを徹底するよう強調されました。今後、定期的なセキュリティ研修を年に複数回実施する計画も立てられています。新任の教職員に対する研修はもちろん、全教職員が対象のオンライン講習やテストを実施し、セキュリティ知識の定着度を測定・フォローアップする仕組みづくりも検討されています。また、注意喚起ポスターの掲示や、具体的な事例集の配布など、啓発策は多角的に展開される予定です。これにより、教職員一人ひとりが自分ごととしてセキュリティリスクを捉え、日常業務で細心の注意を払う文化を醸成しようとしています。

個人アカウント利用規則の見直し検討：業務情報管理のガイドライン策定と遵守徹底

大学法人は、情報管理に関する内部規程の見直しにも着手しました。特に焦点となっているのが、「業務に個人所有のアカウントやクラウドサービスを使うこと」に関するルール整備です。これまで明確な規制がなかったために、教員が利便性から個人のGoogleドライブやメールを使ってしまうケースが生じていました。今回の反省を受け、大学は「公式に認められたシステム以外で学生・受験者等の個人情報を取り扱わない」ことを明文化する方針です。そのためのガイドライン策定作業が進められており、近く新たなポリシーとして全教職員に周知される見込みです。ガイドラインには、例えば「教職員は大学発行のメールアドレスを必ず使用する」「クラウド上でデータ共有する場合は大学指定のサービスのみ許可する」「どうしても個人アカウントを使う必要がある場合は事前申請を義務付ける」といった具体的な規則が盛り込まれるでしょう。加えて、その遵守を徹底させるための仕組みも検討されています。定期的にアカウント利用状況の監査を行う、不適切な利用が見つかった場合の罰則を設ける、といったものです。こうした規則の見直しによって、組織ぐるみで情報管理を強化し、個人の判断でリスクに晒されることがないように改善を図る計画です。

長期的なシステム改善計画：監視体制の強化と外部専門家の協力も視野に

再発防止策には、長期的なシステム面の改善も含まれています。まず、学内の情報システムにおける監視体制の強化です。今回見逃してしまったような異常も検知できるように、メールシステムやクラウド利用状況をモニタリングする仕組みを拡充します。たとえば、一定期間内に大量のデータダウンロードが発生した場合にアラートを出す、学外IPアドレスからのログイン試行があればブロックする、といったセキュリティツールの導入が検討されています。また、外部のサイバーセキュリティ専門企業とも協力し、定期的な脆弱性診断やフィッシング模擬演習の実施も視野に入っています。さらに、クラウドサービス自体の見直しも進められるでしょう。大学全体でGoogle WorkspaceやMicrosoft 365といった包括的クラウドプラットフォームを統一導入し、個別に教員がサービスを利用しないでも良い環境を整える案もあります。その際には管理者がアクセス権限やデータの保管期間をコントロールできるため、安全性が高まります。外部専門家の知見を活用しつつ、システムと運用の両面から長期的にセキュリティを底上げする計画が進んでおり、現在関係部署で協議が重ねられているところです。

個人アカウント利用のリスクが浮き彫りに、大学教員の情報管理体制で問われる課題が明らかになり、改善の必要性

今回の事件を通じて、大学教員による個人アカウント利用が持つリスクが改めて認識されました。組織的な管理の及ばない領域で業務情報が取り扱われていたことが、重大な情報漏洩の温床となっていたのです。マーケティング担当者を含む企業・組織の皆様にとっても、他山の石とすべきケースでしょう。この最後のセクションでは、個人アカウント利用の問題点と情報管理体制における課題を整理し、改善の方向性について考察します。組織全体での意識改革やポリシー遵守の徹底など、今後求められる取り組みをまとめることで、再発防止だけでなく普段から情報を安全に扱う文化づくりの重要性を強調します。

業務用途に個人アカウントを使うことの何が問題か：管理が行き届かないリスクと責任の所在の曖昧さ

まず根本的な問いとして、大学や企業の業務に個人のメールアカウントやクラウドストレージを使うことの何が問題なのでしょうか。最大の問題は、組織としての管理が行き届かないリスクが生じる点です。個人アカウントは各人の裁量で運用され、パスワードの強度や二要素認証の有無、データのバックアップや削除など、すべて個人任せになります。組織はそこに介入できず、万一事故が起きても全容を把握しづらいのです。また、責任の所在が曖昧になることも問題です。公式システム上のデータ漏洩であれば、組織全体で対処し責任を取ることになりますが、個人アカウントからの漏洩は「個人の過失か組織の問題か」判断が難しくなります。今回の件でも、教員個人のミスに焦点が当たりがちですが、実際には組織としてそれを許していた点で責任が共有されるべき部分があります。このように、個人アカウントを業務利用することは管理や責任の観点から大きなリスクを孕む行為です。組織としては、その危険性を周知し、公式システムを使うよう徹底させる必要があります。

大学教員における情報管理の現状：セキュリティ意識と制度上の盲点、個人任せになりがちな実態

大学教員の情報管理の現状を見ると、セキュリティ意識に関して必ずしも高いとは言えない実態が浮かび上がります。教育・研究が本務である教員にとって、ITやセキュリティは後回しになりがちです。例えばパスワードを長期間変更しなかったり、複数のサービスで同じパスワードを使い回したりするケースも散見されます。また、情報管理に関する制度上の盲点として、教員は比較的自由にITツールを選択できる環境があります。企業であればIT部門がソフトウェア選定から運用までガチガチに固めますが、大学では「研究の自由」の観点もあり、教員個人の判断に委ねられる部分が大きいのです。その結果、情報管理が個人任せになり、今回のような抜け穴が生じました。さらに、人事異動や退職の際のデータ引き継ぎが不十分なことも課題です。前任者が私的なクラウドにデータを残したまま異動してしまい、誰もその存在を知らない、といったケースもあり得ます。このような現状を改善するには、教員に対する定期的なセキュリティ教育のほか、研究・教育面でのIT利用を組織が適切にサポート・管理する仕組みを作る必要があります。

大学提供の公式アカウントと個人アカウントのセキュリティ差：管理者の有無による違いと情報保護の仕組み

大学や企業が職員に提供する公式アカウント（例えば「@university.ac.jp」のメールや、大学契約のクラウドサービス）と、個人が取得したアカウント（「@gmail.com」など）では、セキュリティ面で大きな違いがあります。その一つが管理者の有無です。公式アカウントには組織側の管理者が存在し、パスワードポリシーの適用やアクセス制限、アカウント停止などの制御が可能です。また、組織全体のセキュリティ対策（ウイルススキャンやスパムメールフィルタの強化など）も集中して実施できます。一方、個人アカウントではそうした集中管理ができず、すべてユーザー任せです。情報保護の仕組みにも差があります。公式システムでは、データの暗号化、権限設定、監査ログの記録など多層防御が施されていますが、個人向け無料サービスでは必ずしも十分ではありません。また、組織契約のクラウドであれば万一データ漏洩が起きても契約ベースでサービス提供側に報告義務がありますが、個人サービスでは表沙汰になりにくいです。今回の事件でも、Googleの個人アカウントで発生したためGoogle社から大学への直接連絡はなく、発見が遅れた要因の一つです。こうした違いから、やはり公式アカウントを活用することが情報保護上望ましく、組織としてもそれを推奨・強制していく必要があります。

組織的なアカウント管理の必要性：統制の取れた情報管理体制の構築と運用ルールの厳格化

前述のような問題点を踏まえると、組織的なアカウント管理体制を構築する必要性が明確になります。大学全体で情報を扱うアカウント・サービスを統一し、一元管理することで、統制の取れた情報管理が可能となります。例えば、全教職員に対して大学提供のクラウドストレージとメールアドレスを利用させ、そこ以外で業務データを保存・送信しないようにする、といったルールを厳格化します。その運用ルールを定め、違反があれば指導や制限措置を講じるくらいの姿勢も必要でしょう。また、組織的管理の利点として、万が一内部で問題が発生しても、管理者が迅速に対応できる点が挙げられます。アカウント停止やパスワードリセット、アクセスログ調査など、公式アカウントならば即座に実行できます。さらに、統一したプラットフォーム上であれば、セキュリティ更新や新たな対策の展開も全員に対して一斉に行えます。もちろん、統制を強めることに対する反発や、使い勝手の問題も出てくるかもしれませんが、安全と利便性のバランスを考えつつ、徐々にでも管理を強化していくことが再発防止には不可欠です。

再発防止に向けた意識改革：教職員のリテラシー向上とポリシー遵守徹底、全員参加のセキュリティ文化

最後に、技術的・制度的な対策と並んで重要なのが、組織構成員一人ひとりの意識改革です。どれだけルールを整備しても、それを守る主体である人間の意識が変わらなければ絵に描いた餅になりかねません。大学では今後、教職員のITリテラシー向上に注力していくでしょう。今回のような事例を共有し、「自分も標的になり得る」という危機感を持ってもらうことが第一歩です。そして、策定されたポリシー（例えば「個人情報は学内システムで管理」「怪しいメールは報告」など）を確実に遵守することを習慣づける必要があります。そのためには、上層部から現場まで全員参加のセキュリティ文化を醸成することが求められます。情報セキュリティは専門部署だけの責任ではなく、組織全員の責務であるという考え方を浸透させるのです。マーケティング担当者の方々においても、自社の情報管理についてこの事件を踏まえた見直しを図り、社員一人ひとりの意識を高める活動を実施することが重要でしょう。最終的に、人と技術とルールの三位一体でセキュリティ水準を高めていくことが、今回明らかになった課題に対する根本的な解決策となります。