【衝撃事件の核心】教員パソコンをカンニングで大阪医科大生逮捕 患者カルテなど46万件流出 - 産経ニュース

【衝撃事件の核心】教員パソコンをカンニングで大阪医科大生逮捕 患者カルテなど46万件流出

一連の問題で謝罪する大阪医科大の関係者ら
 パソコン内のデータを別の場所に自動保存する「バックアップソフト」。インターネット上では無料ソフトも多数公開されている。本体故障時に役立つこの便利ツールを、あまりに不届きな用途に使った医大生が大阪府警に逮捕された。教員用のパソコンにこのソフトを仕込み、成績アップのためにデータを“カンニング”していたのだ。抜き取られたデータの総量は、付属病院の患者カルテというプライベートな医療情報を含む約46万件。大規模な情報流出だったが、当の医大生は事の重大性に気づいておらず、逮捕時、医大生は「これで逮捕?」と驚きの表情を浮かべていたという。
堂々インストール
 白昼堂々の犯行だった。
 1月25日、大阪医科大(大阪府高槻市)のある教室。休み時間に入室してきた4年の男子学生(24)は教卓に近づくと、大学の備品のパソコンに記録媒体(USBメモリー)を差し込んだ。
 パソコン上で、バックアップソフトのインストールが始まった。教室内には他の学生もちらほらいたが、何食わぬ顔で作業を続けた。
 数分でインストールは完了。表示を確認して教卓を離れ、席に着いた。
 ソフトは無料で公開されており、教員がこのパソコンでUSBメモリーなどの記録媒体を使うと、その媒体内の全データが、大学内のサーバーにコピーされる設定になっていた。つまり授業のたびに情報が、サーバーに流出し続けていたことになる。
 聴講を終えると、学生向けのパソコンルームに向かい、あらかじめ学内のサーバーに作っておいた隠しフォルダをのぞいた。教授が先の授業で使ったスライドなどのデータが、無事にコピーされていることを確認すると、自身のUSBに保存し、持ち帰った。
あえなく逮捕
 4月11日、大学側がパソコンの異変に気づく。講師が教卓のパソコンにUSBを入れたところ、パソコンの動作が重くなった。システム業者が点検し、バックアップソフトを発見。翌12日には学内サーバーの隠しフォルダにたどり着いた。
 大学はサーバー内の全データを退避させ、隠しフォルダを削除。だが13日に再び隠しフォルダが作られたため、緊急対策会議を開き、5月になって府警サイバー犯罪対策課に相談した。
 府警が男子学生の仕業と特定するのに、それほど時間はかからなかった。教員パソコンにソフトを仕込む行為が、教室の防犯カメラに写っていたからだ。
 「警察や」。6月14日朝、大学へ向かうために自宅を出た男子学生に府警の捜査員が声をかけ、任意同行を求めた。
 大学の教室に設置された教員用パソコン2台に、ソフトを無断でインストールした-。不正指令電磁的記録供用の容疑がかかっていることを伝えると、目を丸くし、これで逮捕されるのかと動揺していたという。
 府警や大学によると、不正に抜き出されたデータは文書ファイルなど約46万件。付属病院の患者201人分のカルテや診療情報のほか、講義資料、過去の小テストの試験問題と解答、講師の履歴書などが含まれていた。4月までの間、計6台のパソコンにソフトを仕掛け、少なくとも教員約50人のデータを取得していた。
「友達に自慢」
 なぜ、大量のデータを盗み出したのか。動機は単純で「勉強のために先生の講義用データがほしかった」と府警に説明した。
 大学によると、授業資料を学生に配布するかどうかは各教員に一任している。資料を配らずに教室でスライドを示すだけの教員もおり、こういう資料を入手したかったと話しているという。
 では全て勉学目的だったかというと、そうでもなかった。「みんながほしいレジュメのデータを自分が持っている」。データのコピーに成功すると、優越感ともいうべき感情が芽生え始めたようだ。男子学生は「データを持っていることを自慢して、友達から尊敬されたかった」とも供述。実際に、知り合いの学生数人にデータを渡していたという。
甘い認識
 短絡的ともいえる犯行は、同時に大学側のセキュリティーの甘さも浮き彫りにした。
 大学によると、教卓のパソコンには、ログインIDとパスワードが書かれたシールが貼られており、誰でも操作が可能だった。シャットダウンした際に初期状態に戻すソフトは入っておらず、インストールしたバックアップソフトはパソコン内に残り続けた。
 また、付属病院の規定では、患者に関する情報を個人が特定できる状態で院外に持ち出すことを禁止していたが、一部の教員がUSBに保存し、持ち歩いていたことも明らかになった。大学の担当者は「院外は『病院の外』という意味だが、『同じ敷地内にある大学なら大丈夫だろう』という認識の教員がいた」という。
 事件を受けて、同大は教卓のパソコンを全て撤去。7月26日には全学生約700人に情報の取り扱いに関する研修を実施し、どんなことが違法になるのかを伝えた。9月には教職員に対して、情報セキュリティーに関する研修を複数回実施する予定という。
 捜査関係者は「見方を変えれば、悪い業者にそそのかされた学生が、患者の個人情報を抜き出せる状態にあった」と指摘する。別の府警幹部は「登場人物全員、情報管理の意識が甘い」と、病院というプライベートな情報が集積する場所での不祥事を嘆いた。