全国7万件超に影響拡大　卒業アルバムの老舗に何が起きたのか

イシクラは全国約2,100校（うち関東1,600校）の卒業アルバムを年間25万冊生産しており、昭和11年創業の老舗印刷会社として「思い出づくり」に関わる業務を長年支えてきた。今回の一連の被害は、学校アルバムのデジタル制作におけるリスクを社会に問いかける事案となっている。

川崎市内だけで5840人に影響　全体の一例として浮かび上がる構図

この被害の一端として、川崎市教育委員会が4月4日に明らかにしたのが、市立小学校12校での個人情報漏えいの可能性だ。対象は令和2年度から5年度までの4年間に卒業アルバム制作を依頼した学校で、6年生の児童および教職員あわせて5,840人分の氏名や写真などが記録されていた。具体的には、高津区・宮前区・多摩区などにある「さくら小学校」や「宮崎小学校」などが含まれ、制作業者の「写真のたなかや」および「スズキフォトスタジオ」から業務の一部がイシクラへ再委託されていた。

川崎市は「イシクラからの連絡が遅れたため、3月になってようやく事実を把握した」と説明し、保護者および関係者に謝罪文書の送付を進めている。

情報漏えいの構図と背景　委託・再委託の透明性が焦点に

今回の情報漏えいは、直接業務を請け負った地域の写真館から、大手企業であるイシクラへの再委託が行われた末に発生している。イシクラによれば、2023年5月にランサムウェアによる攻撃を受け、サーバーが一部破損。その後、情報の閲覧リスクが判明したが、委託元への連絡が大幅に遅延し、結果的に関係自治体の通知も2025年3月以降へとずれ込んだ。

特に卒業アルバムの制作では、児童や教員の氏名、顔写真、クラス・部活動などの情報が網羅的に記録されており、教育現場における個人情報の中でもセンシティブな領域に該当する。今回の事案では、データの抜き取りや悪用は確認されていないものの、「万が一」のリスクとして保護者の不安は高まっている。

地方中小企業のデジタル転換とセキュリティギャップ

イシクラは、従来の紙媒体を主力とする印刷業から、近年はスマートフォンで閲覧可能な映像コンテンツや「思い出アーカイブ事業」と銘打った新サービスの展開に力を入れてきた。事業のデジタル転換を図る中で、従来のセキュリティ水準とのギャップが今回の被害を招いたとの見方もある。

セキュリティ専門家の間では、「中小企業のDX（デジタルトランスフォーメーション）推進にはセキュリティ投資が後回しにされやすい」との指摘もあり、今後は委託・再委託先を含めた体制の総点検が求められる。

卒業アルバムに揺れる信頼　保護者・教育現場の声

卒業アルバムは、単なる記念品にとどまらず、家庭にとっては「時間を閉じ込めた記録」として長期に保管されるものだ。その制作過程で、信頼して預けた個人情報が守られなかったとすれば、学校や制作会社への信頼は大きく揺らぐ。

保護者からは「せめて一言早く説明が欲しかった」「再委託の仕組みがこんなに複雑だとは知らなかった」との声が上がっている。また、教職員からも「学校現場で説明を求められても、経緯が不透明では対応に苦慮する」といった困惑が広がっている。

信頼回復へ　問われる企業の情報倫理と社会的責任

イシクラは「被害を受けた可能性のある全件について、関係機関と連携して対応していく」との声明を出している。今後は対象者への説明責任とともに、再発防止に向けた具体的措置、再委託構造の透明化が不可欠となる。

記録を守ることは、記憶を守ることに他ならない。卒業アルバムという「思い出産業」に関わる企業の社会的責任が、いま改めて問われている。