事故から学ぶ

職員が業務システムで親族個人情報を目的外閲覧、外部漏洩 – 大阪市

事故概要

業種 地方公共団体 市
発生時期 2017/8/14から2018/7/26
漏えい人数 7名
事故概要

職員が業務システムで親族個人情報を目的外閲覧、外部漏洩 – 大阪市

大阪市の職員が、業務目的外でシステムを使用し、親族の個人情報を閲覧、外部へ漏洩していたことがわかった。他職員のIDなども用いていたという。
同市によれば、生活支援担当職員が、税務事務システムや、必要に応じて住民基本台帳へもアクセスできる総合福祉システムを業務に関係なく使用し、親族などの個人情報を複数回閲覧し、外部へ漏洩していた。
業務システムの個人情報の閲覧履歴について9月に開示請求があり、システムの閲覧記録から同職員が開示請求人の税務や住民情報を閲覧していた疑いが明らかになった。
その後の調査で、2017年8月14日から2018年7月26日までの間に、親族2人の収入や課税状況、住所など7件を閲覧。そのうち開示請求人にあたる1人の情報をほかの親族などに漏洩していた。
また閲覧した7件のうち3件は、別の職員が一時的に離席した間に、その職員のIDで業務用端末を使用、閲覧していたという。
同市では、同職員のシステム使用権限を抹消。個人情報保護や情報セキュリティに関する個別指導を行った。今後は関係部署と協議のうえ、処分するとしている。

引用元 Security NEXT - 2018/12/14

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
3-20 意識付け教育

チェックリストにある要求ルール:

情報管理の大切さなどを定期的に説明するなどのように、従業員に意識付けを行っていますか?個人情報はあらかじめ定められた利用目的の範囲で使用することを守っていますか。

■ 推奨対策

対策:

「常に人に見られている」という仕組みを作り、さらに「覗き見」「悪用」したときの具体的な罰則を定め周知することが必要です。

具体例:

閲覧したり、ファイルを保存したりしたときのログを取る仕組みを入れているが、ログの点検まではしていないという事業所を大変多く見受けられます。
パソコンの操作ログを取る仕組みは安価で種類も多く、中小企業でも導入しやすくなっているので、未導入の企業は是非ご検討ください。
問題のログの点検をしていない、という件の対策は、月に1度、複数の社員が当番制で全員のログ1か月分を点検する会を開くのが有効です。当番制なので順番が回ってきたときに「何を見られるのか」が分かり、社員一人一人の注意喚起に結びつきます。ログなので何をしたかはわかりますが、中身までは分かりません。業務と関係がないものを見ていないことが分かれば十分です。
さらに、例えば経理担当者が経理に関連した情報をダウンロードしてもログ上は不自然に映りませんが、ダウンロードしたファイルをどのように使ったのかは、経理要員間でログを相互確認するルールを作れば不正抑止になります。漏えい時によく聞く「任せっきりにしていた」という言い訳は、「組織としてまったく管理をしていなかった」という事実の公表であり、個人情報漏えい事故時には補償を求められる要件に該当します。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。