都立大で不正アクセス発覚　教員のフィッシング被害で個人情報流出の可能性

2026年1月7日、東京都立大学を運営する東京都公立大学法人は、教員のGoogleアカウントが不正アクセスを受け、学内イベント申込者の個人情報が外部に流出した可能性があると発表した。
国内の大学における情報管理体制の脆弱性を改めて浮き彫りにする事案となっている。

教員の個人アカウント侵害で180件の情報流出か

大学側の説明によると、2025年12月2日、経営学研究科の教員が海外研究者を装ったフィッシングメール（※）に誘導され、個人で取得していたGoogleアカウントの認証情報を入力した。
これによりアカウント情報が窃取され、第三者による不正利用が可能な状態になったという。

その後、2026年1月7日には当該アカウントから、ドキュメント共有を装ったフィッシングメールが複数の宛先へ送信され、受信者からの指摘で不正アクセスが発覚した。

流出の可能性があるのは、2017年度、2023年度、2024年度に開催された経済経営学部・経営学研究科主催イベントの申込・アンケート情報約180件で、氏名やメールアドレス、所属機関、電話番号などが含まれる。
また、当該教員が過去に送受信したメール本文や添付資料も対象となる可能性がある。

現時点で二次被害の報告は確認されていない。

大学側は関係者への説明と謝罪を進めるとともに、今後、事実として第三者流出が確認された場合には速やかに周知するとしている。
また、全教職員に対するアカウント管理や個人情報の取り扱いに関する周知徹底、全学的な対策検討を進める方針を示した。

※フィッシングメール：実在の組織や人物を装い、偽のリンクや入力画面へ誘導してIDやパスワードなどの認証情報を盗み取る不正メール。近年は文面が巧妙化し、研究者や企業関係者も被害に遭いやすいとされる。

大学の情報管理体制に課題　再発防止が急務に

今回の事案は、個人アカウントと組織業務の切り分けが十分でなかった点に大きなリスクがあったと言える。
クラウドサービスの利便性が高まる一方、教職員個人の判断に依存した運用が続けば、同様の被害が再発する可能性は否定できない。

抽象的に語られがちな「情報セキュリティ教育」の必要性が、実例として共有されたことは、再発防止策を制度論から実務論へと引き寄せる契機になり得る。

しかし、被害の発端が「個人で取得していたGoogleアカウント」であった点は、大学組織としての統制の弱さを示している。
生成AIやクラウドツールの活用が進む大学・研究機関にとって、情報セキュリティは研究活動の信頼性そのものを左右する要素である。
利便性と安全性の両立をどう図るかが、今後の高等教育機関全体の重要な課題になりそうだ。

東京都公立大学法人　リリース