事故から学ぶ

TOP > 事故から学ぶ > 各種管理台帳の不備 > 児童の個人情報含むCD-ROMを紛失、判明は11月 – 大阪府

2019/04/03

児童の個人情報含むCD-ROMを紛失、判明は11月 – 大阪府

事故概要

業種	大阪府　地方自治体
発生時期	2018/11/1
漏えい人数	34人
事故概要	大阪府は、児童養護施設などに入所している児童の診療報酬請求明細書などが記録されたCD-ROMを紛失したことを明らかにした。同府によれば、2018年10月に社会保険診療報酬支払基金から送付された一部CD-ROMが所在不明となっているもの。児童養護施設などに入所している児童に関する2018年8月診療分のレセプトを保存したCD-ROMで、児童34人の氏名や性別、生年月日、傷病名、診療内容、保険者番号などが含まれる。CD-ROMにはセキュリティ対策が講じられているという。 2018年11月に9月診療分のCD-ROMをロッカーに保管した際、同じロッカーに保管しているはずの8月分のCD-ROMがないことが判明。執務室や倉庫を捜索したが見つからなかった。ロッカーは複数の職員が利用しており、ほかの書類なども保存されているという。同府では、12月に対象となる児童の保護者に事情を説明して謝罪した。今後はディスクを保管する場所の変更や、管理簿を記載するなど、再発防止に取り組むとしている。
引用元	大阪府

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
20-11 （第20条）安全管理措置作業ルールの徹底（保管管理と情報漏えい防止、盗難防止）

チェックリストにある要求ルール：

重要情報を机の上に放置せず、書庫に保管し施錠するなど、重要情報の紛失や漏えいを防止していますか？
パソコン自体に盗難防止装置をつける、不在時は部屋を施錠したり、ノートパソコン鍵のかかるロッカーに収納する、などの盗難防止策を講じていますか？
退社時には、重要書類やノートパソコンは、鍵のかかる引き出しや保管庫に収納するなど、盗難防止対策をしていますか？
重要情報を保管庫から出し入れする際は、管理記録を個人名付きで記録していますか？
保管庫の施錠は2名以上で確認をしていますか？

■ 推奨対策

対策：

作業手順書、マニュアル、管理体制、監査体制の強化が必要である。
個人情報を業務活用した後に、個人情報が記載されている書類を施錠管理する収納庫から「出すとき」「戻すとき」に、管理簿に記載すべきであり、この管理がなされていないと思われる。いつの間にかなくなっていた、というのは管理されていない、管理していない、ということである。組織的な管理体制の欠陥であり、個人情報を管理する導線が切れていることになる。「なくさないように気をつけましょう」という宣言では再発防止策にはならない。

具体例：

個人情報の重要性はスローガンとしては掲げれるが、多忙な日常業務の中で扱っていると、その重要性への認識が疎かになってしまうのが、心理である。だからこそ、対策の具体性が企業に求められるのである。
まず、個人情報を取り扱うときには、面倒な管理台帳に、出し入れや利用目的などを、作業者の個人名とともに記録させることで、取り扱う個人の自覚と責任を明示させる大切になってくる。自分の名前を書くことが、出した個人情報を完全な形で元に戻す責任を持たせることである。