事故から学ぶ

個人情報を含むUSBメモリ紛失のお詫びとお知らせ 阪南大学

事故概要

業種 大学
発生時期 2019/02/02
漏えい人数 1,169人
事故概要

大学教員が、自宅からゼミのフィールドワークに向かう電車内において、持参していたノート型パソコンに学生の個人情報が保存されている小型USBメモリを紛失したと発表した。当該教員は紛失に気付いた後、周囲の捜索を行うと同時に、警察・鉄道会社に遺失物の届出を行いましたが、現時点では発見には至っていない。
当該USBメモリ及びそのデータについてはパスワードロック等の対策は施されていないが、これまでに本件USBメモリに保管されている個人情報が第三者に流失したという情報や不正に使用されたという事実はないことは確認したとしている。
USBメモリに保存されていた個人情報の内容は、平成27年度から平成30年度開講の一部科目履修者の学籍番号、氏名、成績の途中評価に関するデータ1,169件分。今回紛失したUSBメモリには、大学名、学生の住所や電話番号など住居、連絡先を特定するような個人情報は含まれていないとしている。すでに該当する関係者には、お詫びの文書を送付して、状況の説明と紛失した個人情報の詳細を報告している。
大学の発表では、平成17年に「個人情報の保護に関する規程」等を定め、その取扱い方法を大学webサイトで公開するなど、個人情報の適切な管理に努めてまいりました。しかしながら、今回このような事態が発生したことを重く受け止め、個人情報の管理については、これまで以上慎重に行うよう、再発防止に努めていくとしている。

引用元 時事通信

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-17 (第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データの紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
USBメモリのように小さなものは、首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを見につくまで、徹底教育していますか?

■ 推奨対策

対策:

「個人情報の取扱いについて、十分に注意し慎重に、決められた方法により取扱うよう周知を図ってきたが、その徹底が不十分で、当該職員の個人情報及びUSBメモリーの取扱いに関する認識も不足していたとしている」という、ルールも周知もしてきたが、行き届いていないことが課題となるため、いかに徹底させるのか、が対策の中心となる。

具体例:

規則はある。教育もしている。しかしルールが守られない。この問題対応が具体策となる。
物理的対策としては「USBに首から下げるストラップをつける」という案があり、これも対策の一つになりうる。小さい、軽いなどのUSBの便利さを逆行させる物理的対策である。
また事後対応を本人にあたらせ、紛失以後の社内対応を事細かに記録させ、リカバリーの大変さを全社員に教育研修の場で伝えていくことで、リアルな教育を実践することもできるようになる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。