32万人分もの個人情報が流出した学校が「流出内容に問題はない」とされた理由とは？

ハッカーの手によって、大規模な学校区に通う約32万人分の学生の氏名や住所などの個人情報がオンライン上に公開されてしまうという事件が発生しました。学校がハッカーの侵入を許してしまった点にも問題がありますが、ハッカーによって違法に公開されたデータの内容については、ある法律により「大きな問題はない」とされています。

Ransomware Threat Actors Dump Data on Clark County School District Employees and Students
https://www.databreaches.net/ransomware-threat-actors-dump-data-on-clark-county-school-district-employees-and-students/

Hacker Releases Information on Las Vegas-Area Students After Officials Don’t Pay Ransom - WSJ
https://www.wsj.com/articles/hacker-releases-information-on-las-vegas-area-students-after-officials-dont-pay-ransom-11601297930

被害にあったのはラスベガスにある学校区、Clark County School District(CCSD)に通う約32万人の学生です。ハッカーは学校のサーバーを不正にロックし、解除する見返りとして学校に対し金銭を要求。学校側がこれを拒否したため、ハッカーによって学生たちの氏名、成績、生年月日、住所、通学している学校名などの個人情報がオンライン上に公開されました。

学生の個人情報が公開されたことについて、ウォール・ストリート・ジャーナル(WSJ)は「コロナウイルスの大流行により、オンライン学習に大きく依存している学校をターゲットにしたハッカーたちの戦術がエスカレートしていることを示している」と述べました。

しかし、CCSDでは家庭教育の権利とプライバシーに関する法律(FERPA)の下で、学校が学生情報の一部を「名簿情報」として一般に公開することが認められています。どのようなデータを名簿情報として一般に公開するかは学校が決定でき、CCSDでは学生の氏名、住所、学年、生年月日、出生地、出席年数、学位、受賞歴、通っていた学校、所属している部活動、スポーツチームに所属している場合は体重と身長の公開が許可されていました。

FERPAを考慮すると、ハッカーによって公開されたデータは機密情報とはみなされない可能性があります。セキュリティ系ニュースサイト・DataBreaches.netを運営するDissent Doe氏は、ハッカーが公開したデータ内容を実際に確認し「これまでのところ、学生の医療記録、懲戒記録、社会活動や心理学的記録など、本当に機密性の高い情報は一切確認されていません」とコメント。

しかし、ハッカーに公開されたのが機密性の低いデータであったとはいえ、楽観視すべきではないともDissent Doe氏は指摘。「ハッカーが行ったことは学校区の機能を妨げ、他の業務に割くことができたであろう教職員らのリソースを取り上げました。ハッカーそれぞれの攻撃は異なっているので、さまざまな攻撃への対抗手段や回復方法を準備しておく必要があります。しかし、ハッカーが常に機密データだけを取得していると仮定してしまうことは非常に危険です」とDissent Doe氏は語っています。