事故から学ぶ

宮城野高校が生徒の個人情報をHPに誤掲載

事故概要

業種 宮城県教育委員会
発生時期 2019/07/8~2019/07/10
漏えい人数 274人
事故概要

宮城県教育委員会は11日、県立宮城野高校(仙台市)が3年生274人分の氏名、学科、進学を希望する大学名などの個人情報を誤って同校のホームページに掲載したと発表した。被害の報告はないという。
同校によると、生徒の個人情報が掲載されたのは、8日午後1時から11日午前10時40分まで。同校卒業生の保護者から指摘があり、掲載を停止した。
本来はPDFファイルで進路希望調査集計結果の一覧表だけを掲載すべきところ、担当の女性常勤講師がPDFに変換せず、誤って個人情報を含むエクセルファイルのまま掲載した。掲載は校長の決裁を経ていたが、遠藤吉夫校長は「チェック態勢が甘かった」と謝罪した。

引用元 産経ニュース

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-19 (第21条)従業者の監督 作業ルールの徹底(誤開示防止)

チェックリストにある要求ルール:

ホームページに情報を掲載する際、個人情報、社外秘情報が含まれていないことを、複数回チェックしていますか。掲載後にも直ちにこれらの情報が掲載されていないかチェックしていますか。
個人情報を含む書類を個人情報の所有者(本人)に渡す際、本人確認をし、その上で本人が要求しているもの、あるいは本人に渡すべき書類であることを確認していますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか、あるいは掲載対しての許可など本人の承認を得ていますか?

■ 推奨対策

対策:

校長自らが認めているように、そもそも確認体制が整っていないことが主因であり、見直すべきポイントになる。

具体例:

今回の漏えい事故を機会に、漏えい防止をするために確認すべきポイントを示したマニュアルを見直すこと、ダブルチェックをする体制を確立すること、確認たことをエビデンスとして残すこと、そしてエビデンスを監査すること、などの体制を整備する必要である。不慣れな職員が情報をホームページに掲載するときには、当然、確認者が立ち会うべきであり、またホームページに情報を掲載した直後には、ホームページを再読み込みした上で、他の掲載事項に影響がないかも含め、全体的に広く確認する必要がある。情報漏えい事故のダメージと、漏えいされた個人に対する被害を考えると、手間を省くことで取り返しのつかない事態を招くことになるため、手を抜かないレベルを維持するのは教育と監査にかかって来るので、これも含めての体制整備が対策となる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。