1. 御殿場市の小中学校で何が起きたのか
サーバーがランサムウェア感染した経緯
2025年11月25日、静岡県御殿場市の教育委員会が管理する小中学校向けの校務システムで、外部委託先のサーバーがランサムウェアに感染していることが判明しました。
このサーバーには、小中学生の個人情報や校務に関するデータがまとめて保存されており、感染によって一部のデータが暗号化され、閲覧や利用ができない状態になりました。
御殿場市教育委員会は11月26日にこの事案を公表し、校務システムをネットワークから遮断するなどの初動対応を行っています。
影響を受けた人数と学校数の規模感
暗号化されたサーバーには、市立小中学校に在籍する児童生徒約6,000人分の情報が含まれていたとされています。市内の公立小中学校のほぼ全児童生徒が対象になっている規模です。
現時点では、個人情報が実際に外部へ流出したという確証はないものの、「流出の可能性は否定できない」という説明がなされており、調査と監視が続けられています。
2. 暗号化されたサーバーに保存されていた情報
児童生徒・保護者の個人情報
問題となっているサーバーには、以下のような個人情報が保存されていたと報じられています。
- 児童生徒の氏名・住所・生年月日
- 保護者の氏名
- 保護者宛ての通知文書・お知らせ
子ども本人だけでなく保護者の情報も含まれているため、万が一流出した場合には、長期的ななりすましやフィッシングなどに悪用されるリスクがあります。
成績・健康診断・生徒指導などの校務データ
サーバーには、単なる名簿情報だけでなく、校務で扱うさまざまなデータも保存されていました。具体的には次のようなものです。
- 成績処理データ
- 健康診断の結果
- 出欠状況の記録
- 生徒指導に関する記録文書
- 行事写真や各種ドキュメント
教育現場で日々蓄積される「子どもたちの履歴」が、1つのサーバーに集中している状態だったことが分かります。
3. 学校現場・保護者への影響
成績処理や受験書類作成への影響
暗号化により、成績処理や高校受験用書類の作成など、一部の業務で支障が出ていると報じられています。
特に2学期末〜受験期にかけては、成績・調査書・各種証明書など、校務システムを前提とした事務作業が集中します。システムが使えない、あるいは過去データにアクセスできない状況は、学校側に大きな負担となります。
授業は継続しつつも事務が止まるリスク
授業そのものは、代替の校務支援システムを使うことで継続されているものの、暗号化されたデータに依存していた業務は、手作業や一時的な運用でしのがざるを得ません。
一見すると「授業が止まっていないので大きな問題ではない」と捉えられがちですが、裏側の事務負荷や、成績・受験といった子どもの将来に直結する部分への影響は小さくありません。
4. なぜここまで問題が大きくなるのか
外部委託サーバーに情報が集中しているリスク
今回被害を受けたサーバーは、市外にあるデータセンター内の外部委託サーバーです。市役所本体のネットワークとは分離されていたため、市役所側には被害が及ばなかった一方で、学校の重要な情報が一箇所に集中していたことで、感染時の影響が大きくなりました。
クラウドや外部委託そのものが悪いわけではありませんが、「どこに・どの情報が・どの範囲で集約されているのか」を把握し、リスクベースで分散・バックアップを考える必要があります。
バックアップとインシデント対応体制の重要性
教育委員会は、暗号化されたファイルのサンプルを警察庁に提供し、復号ツールの有効性検証を進めているとしています。
一方で、ランサムウェア被害は「感染しないように守り切る」のは現実的ではなくなりつつあり、「感染しても復旧できるか」「どこまで戻せるか」「どのくらいの期間の停止で済むか」という、バックアップと復旧体制の質が問われるフェーズに入っています。
5. 自治体・学校・企業が最低限やっておきたい対策
バックアップと復旧手順の事前確認
自治体や学校だけでなく、企業でも共通して重要なのが、次のようなポイントです。
- システムごとに「どこに」「どの頻度で」バックアップがあるかを把握する
- バックアップがランサムウェアから切り離された場所に保存されているか確認する
- 実際に復旧テストを行い、「どのくらいの時間で戻せるか」を把握しておく
ランサムウェアを前提にした体制づくり
ランサムウェアは、もはや特定の業種だけの問題ではありません。自治体・教育機関・医療機関・中小企業など、あらゆる組織が標的になり得ます。
そのためには、「絶対に感染しない」前提ではなく、
- 感染に気づくまでの時間を短くする(監視・ログ・検知)
- 被害を局所化する(ネットワーク分離・権限分離)
- 早期に業務を再開できるようにする(バックアップ・代替手段)
といった、被害を前提にした多層防御とBCP(事業継続計画)が求められます。
6. まとめ
今回の事例から学べるポイントの整理
御殿場市のケースは、「外部委託先のサーバーがランサムウェアに感染した」という一見テクニカルなニュースですが、その裏には、約6,000人分の児童生徒と保護者の情報、そして学校運営そのものが人質に取られる構造的なリスクが見えています。
自分たちの環境を見直すきっかけに
今回の事例は、自治体・学校だけでなく、企業や団体にとっても「自分たちのシステムとデータの置き方」を見直すきっかけになります。
どのサーバーに、どの情報が、どのくらい集まっているのか。バックアップは本当に復旧に使えるのか。委託先のセキュリティはどこまで確認できているのか。
こうした問いを一つずつ確認していくことが、ランサムウェア被害を「ニュースの中の話」で終わらせないための第一歩になります。
