事故から学ぶ

配布資料と一緒にバックデータもアップロード、入札情報が流出(経済産業省)

事故概要

業種 中央官庁 政府機関
発生時期 2018/12/13
漏えい人数 未発表
事故概要

経済産業省は12月13日、ワーキンググループでの事前アップロード資料にバックデータが添付されたファイルがアップロードされ個社の入札情報や個人情報が漏えいしたことが判明したと発表した。
これは12月13日午後4時から6時に開催した、省エネルギー・新エネルギー分科会新エネルギー小委員会第19回系統ワーキンググループの配布資料「東北北部エリア電源接続案件募集プロセスの対応について[東北電力]」について、事前に同省のホームページに東北電力から送付された資料を掲載したところ、ファイル確認が不十分で当該資料にバックデータが残っており入札参加者に関する入札情報(企業名、発電所予定地・規模、入札価格等)や個人情報(入札企業の担当者名・連絡先)が漏えいしたというもの。
同日午前10時50分頃に、一般の方から担当課宛てに入札情報が見られる旨の電話連絡があり、同日午前11時04分にホームページから削除し、入札参加者への事実関係の説明と謝罪の連絡を順次実施している。なお、漏えいした入札プロセスは、既に開札済みのため漏えいによって募集プロセスの結果に影響を及ぼすことはないとのこと。

引用元 経済産業省発表

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
2-13 作業ルールの徹底

チェックリストにある要求ルール:

重要情報を社外へ持ち出す時はパスワード保護や暗号化して肌身離さないなどのように、盗難や紛失の対策をしていますか?

個人情報を含む重要情報を出力、郵送やメールで送付する場合、本当に送付する必要があるか、不要な情報が含まれていないか、送付先に誤りがないか作業者と確認者の二重で確認をしていますか。送付記録をつけていますか?

■ 推奨対策

対策:

2重チェックを含むチェック体制の構築
要求ルールにあるように、個人情報を含む重要情報を郵送やメールで送付する場合、本当に送付する必要があるか、不要な情報が含まれていないか、送付先に誤りがないか作業者と確認者の二重で確認をしていますか。送付記録をつけていますか?

具体例:

チェックの2重化は作業効率との兼ね合いで、ルールを作ってもうまく運用しないことが多いが、個人情報保護の見地から見れば、漏えい事故を起こしたときの組織的リカバリーや管理職を巻き込んだ職員への処分、個人情報保護委員会への報告、損害賠償対応など、手抜きの代償が大きいことを職員にしつこく注意喚起する必要がある。
比較的有効な防止策としては、なぜその作業を行ったのか、内容に間違いがないのかまでを記載する発出記録をつけさせることで、作業者及び管理者自身に気づきの機会を与えることができる。
間違いを防止する、より間違いに気づく仕組み作りが事故防止の結果につながりやすい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。