個人情報の漏洩事故を防ぐにはどうしたらいいの?


こんにちは。いつもご愛読いただきありがとうございます。
ISO総合研究所コンサルタントの箸方です。

だんだんと気温が上がってきて季節も夏に移り変わってきましたね。暑がりの自分はクールビズが始まって喜んでおります(笑)

さて、Pマーク(プライバシーマーク)業界では昨年末に規格改訂があり、今年8月以降に新たにPマーク(プライバシーマーク)の申請を行う事業者は、この新規格【JISQ15001:2017(ジスキュー15001:2017)】で審査を受けることになります。

Pマーク(プライバシーマーク)をすでに取得されている事業者の皆様はご安心ください。審査機関にもよりますが、2018年8月1日~2020年7月31日の間に申請をする場合は旧規格【JISQ15001:2006(ジスキュー15001:2006)】でも対応可能です。

さて、前置きが長くなってしまいましたが、今回のブログのテーマは「個人情報の漏洩事故を防ぐにはどうしたらいいの?」ということで、企業としては避けたい個人情報の漏洩事故について。実際に起きた事例を元に傾向を見ていきたいと思います。

今回の個人情報保護法の改正、及び【JISQ15001(ジスキュー15001)】の改訂には、ある大手企業の個人情報大量漏洩事故が原因の1つでもあります。

Pマーク(プライバシーマーク)を取得されている事業者は特に気を付けていらっしゃるとは思いますが、参考になる部分もあるかもしれません。どうぞ、ご覧ください。

個人情報の漏洩事故は大きく分けて2種類に分かれます。
「不正アクセス等の悪意ある行為による漏洩」「人為的なミスによる漏洩」です。

今回は、3ヵ月以内に起きた人為的な漏洩事故をいくつかピックアップしてみました。以下の事例7つご覧ください。

①大楽生協がセミナー案内メールを誤送信

【組織】
大学生活協同組合

【媒体】
メール

【事故】
新入生に送信したセミナー案内メールの誤送信。送信先を誤って宛先に設定したため、受信者間でメールアドレスが閲覧できる状態になってしまった。

【発見】
自己申告

【原因】
誤操作、チェック不足

【処置】
⑴対象となる新入生にメールで謝罪
⑵誤送信したメールの削除を依頼

②市の職員が業務で知った個人情報を不正利用

【組織】
市役所

【媒体】
マイナンバー通知カード

【事故】
勤務時間終了後に申請書に記載された連絡先に自身の携帯電話から連絡した。

【発見】
被害者からの訴え

【原因】
不正な情報持ち出し

【処置】
⑴同職員に対し減給3カ月
⑵管理監督者である課長級職員、係長級職員に処分

③元従業員が営業管理ツールで顧客情報を不正閲覧、営業利用

【組織】
システム開発会社

【媒体】
営業管理ツール

【事故】
問い合わせを行った顧客の情報を元従業員が不正に持ち出し転職先での営業活動に利用

【発見】
以前、問い合わせを行った事業者からの通報

【原因】
不正な情報持ち出し

【処置】
(1)共用IDを削除
(2)情報が不正に閲覧された事業者に対し、メールで事情を説明し、謝罪

④顧客リストを運搬中に紛失、一部未回収

【組織】
ガス検針業者

【媒体】
顧客情報が記載されたガス料金リスト

【事故】
業務を委託していた業者が、リストを焼却処分するため運搬していた途中に紛失。

【発見】
不明

【原因】
トラック運搬中の管理ミス

【処置】
(1) 移動経路を捜索してリストを回収したが、1割が未回収
(2)HPに謝罪文の掲載、該当する顧客に対し書面を郵送

⑤患者情報記載の書類を突風で飛ばされ紛失

【組織】
病院

【媒体】
患者情報含む書類

【事故】
手に持っていた書類を突風にあおられ、飛ばされた。

【発見】
自己申告

【原因】
管理ミス

【処置】
(1) 周辺を捜索
(2) 対象となる患者に説明と謝罪

⑥スマホゲームのプレゼント企画でメール誤送信

【組織】
ソーシャルゲーム運営会社

【媒体】
メール

【事故】
プレゼントの当選を連絡するメールで誤送信。送信先を誤って宛先に設定したため、受信者間でメールアドレスが閲覧できる状態になってしまった。

【発見】
メール対象者より指摘

【原因】
誤操作、チェック不足

【処置】
対象となる関係者へメールで謝罪。誤送信したメールの削除を依頼。

⑦高校で生徒の個人情報含むUSBメモリを紛失

【組織】
高校

【媒体】
USBメモリ

【事故】
生徒の個人情報が保存されたUSBメモリの紛失

【発見】
持ち主である教諭本人からの申告

【原因】
紛失

【処置】
関連する生徒およびその保護者へ説明と謝罪

最後に

いかがでしょうか?
身近で起きていてもおかしくないものは有りませんか?

ニュース等で報道されているのは「不正アクセス等の悪意ある行為による漏洩」が多いですが、実際は「人為的なミスによる漏洩」の方が多く発生しております。
NPO日本ネットワークセキュリティ協会の調べによると2016年に発生した個人情報漏洩事故の6割が人為的なミスによる漏洩でした。

今回事例として挙げたどの事故も、人が物理的にアクセス可能であることが原因でした。
これらを防ぐためには、組織としての仕組みを作ったり、従業員へ教育を実施したりすることが大切です。

これらの事故を処置することは簡単です。ですが、そのあとの是正処置(繰り返さないための対策)を作ることは専門的な知識が必要になってきます。
Pマーク(プライバシーマーク)を取得されている事業者は絶対に作ることになります。

また、Pマーク(プライバシーマーク)を取得されている事業者は各々規定されているとは思いますが、万が一漏洩事故が発生した場合、警察や個人情報保護員会、審査機関、関係各所などに連絡することになっていると思います。漏れなく把握されていらっしゃいますでしょうか?

弊社では、初回無料のコンサル相談を実施しております。
他社事例も数多くご用意させていただいております。Pマーク(プライバシーマーク)に関することで、もしお困りのことがございましたら、お気軽にご相談ください。

最後まで読んでいただきありがとうございました。


  • Pマーク総研無料プレゼント02
  • Pマーク総研無料プレゼント03

【Pマーク総研】メールマガジン登録

Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス