システム開発におけるユーザ一覧表示の危険性について

基本、アクセスする人の閲覧権限・操作権限を細かくコントロールすることになります。

• クラスの担任である教員には、クラスの生徒に関する情報
• 教科の担任である教員には、担任教科を受講している生徒に関する情報
• 学年主任には、当該学年の生徒に関する情報
• 教頭以上には全生徒の情報

といった感じで権限を階層的に与えます。
この権限にしても、住所などの個人情報と、学業成績とでは別の扱いになります。
※教科担任は生徒の住所を知る必要は必ずしもないですし、教科担任は成績を変更できますが、クラス担任は各教科の成績を閲覧することしかできないのが普通です

この辺は業務システムとしてはごく普通のものですね。

で……業務システムからの漏洩事件においては、アクセス権の設定が誤っていると言うことは希（Web系での設定漏れは別の話です）で、多くは「権限を持っているものが目的外の利用をしている」のです。
※特にデータの持ち出し系の漏洩事件の場合

システムでのガードだけでは防ぐことはできないということでもあります。正当な権限を持つものが悪意を持ってアクセスしている場合、それを防ぐ方法はないのですから。

このシステムで、学生一覧として名簿やデータを表示することに対する個人情報の悪用(?)やセキュリティ上の危険性は何が考えられるのでしょうか？

システムにおけるセキュリティに関してはシステムが不明なのでわかりません。

悪用に関しては以下の危険性があります。

• 教員が誰でも出入りできる部屋で、その学生一覧を開いたままいなくなる
• 教員が授業や講義で学生に学生一覧を見せる
• 教員が学生一覧のデータを複製し、誰でも見れるページに載せる

教員は自身の研究室や講義で担当する学生のデータは自由に閲覧できますが、それ以外は全く知ることができないそうでした。

現在、開発する過程で、ユーザ一覧をどう表示するか考えているので なぜ大学ではこのようなことになっていたのか気になった次第です。

学校に限った話じゃないですが、業務上必要と認められる範囲を越えるデータを閲覧できてしまって問題になるケースは今まで割と沢山ニュースにもなってる気がしますが、気にしてるのはそういう話ですか？

役所勤めの人が手続きに来た芸能人の個人情報漏らしたりストーカーがそういう情報利用したりという事件は過去に何度も発生してると思うので、必要以上の情報にアクセスさせないのは普通だと思います。

Security NEX 最新の情報セキュリティに関するニュース

漏洩事故や件数を調べてみては？

一覧にしようがすまいが、名前や学籍番号を知っていればアクセスできるなら一緒です。
その教員のアカウントに特定のグループへの閲覧権限を紐付け、そのグループに属する学生のみ一覧に表示するようにすればいいでしょう。