2025年5月30日、情報セキュリティ教育サービス「倫倫姫の情報セキュリティ教室」において、閲覧制限に関する不備が確認された。
サービス提供している「国立情報学研究所」によると、問題が発生したのは、学術認証フェデレーション(学認)を通じて各教育機関向けに提供している学習管理システム内の「参加者一覧」ページだった。
本来このページは、各機関のシステム管理責任者(機関管理者)のみが閲覧可能な設定であったが、誤って当該コースに登録された受講者も閲覧できる状態になっていたという。
参加者一覧には、各受講者の「ログイン用ID」に加え、所属機関もしくは本人が登録した場合には「氏名」や「メールアドレス」が含まれていた。
この件に関連して、同サービスを導入している成城大学(東京都世田谷区)も、2025年6月3日付で声明を公表。
同大学では新入生向けに同サービスを利用していたが、調査により受講者1名が「参加者一覧」を閲覧していたことが判明した。
該当学生への聞き取りによれば、「一覧」ページをクリックしたものの内容が本編と異なることに気づき、すぐに他のページに移動し、データの保存などは行っていなかったという。
国立情報学研究所は、事態の判明後ただちにアクセス制限を修正し、内部点検を実施。
点検の結果、一部の受講者による「参加者一覧」へのアクセス記録が確認されたことから、該当機関と連携し、閲覧者および被閲覧者(ともに教職員や学生)への聞き取り調査を行った。
国立情報学研究所および成城大学によれば、2025年5月30日時点で、本件に起因する被害は確認・報告されておらず、迷惑メールの増加などの影響も報告されていない。
また、本件については国立情報学研究所から個人情報保護委員会および文部科学省への報告が行われている。
再発防止に向け、サービス全体の点検および改善策の検討を進めているとし、関係者に対して謝罪の意を表明した。