事故から学ぶ

日本年金機構、国民年金未納者の個人情報を記録したDVD紛失

事故概要

業種 日本年金機構
発生時期 2019/07/21
漏えい人数 未発表
事故概要

日本年金機構は、東京広域事務センターで、2019年7月21日、国民年金未納者の個人情報が記録されたDVDメディアがなくなっていたことが明らかにした。DVDには未納者の氏名や住所、電話番号が記載されていた可能性があるが、データは暗号化されており、漏洩などは確認されていないとしている。
DVDメディアは、機構の東京広域センターと外部委託先の間で、業者が状況報告のために送付したDVDを機構が受け取ったあと、機構で紛失したとみられている。機構は当初、紛失を公表していなかったが、複数の機構関係者が明かした。具体的な情報は全て「調査中」としか発表していない。なお、紛失したDVDは暗号化されており、機構の特定のパソコンでしか閲覧できないもので、機構は事案発覚後、データ閲覧自体をできなくする措置を実施している。今後、機構が毎月発表する「事務処理誤り」に事案を掲載する方針。

引用元 サイバーセキュリティニュース

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-11 (第20条)安全管理措置 “作業ルールの徹底(保管管理と情報漏えい防止、盗難防止)

チェックリストにある要求ルール:

重要情報を机の上に放置せず、書庫に保管し施錠するなど、重要情報の紛失や漏えいを防止していますか?
パソコン自体に盗難防止装置をつける、不在時は部屋を施錠したり、ノートパソコン鍵のかかるロッカーに収納する、などの盗難防止策を講じていますか?
退社時には、重要書類やノートパソコンは、鍵のかかる引き出しや保管庫に収納するなど、盗難防止対策をしていますか?
重要情報を保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?
保管庫の施錠は2名以上で確認をしていますか?

■ 推奨対策

対策:

いつの間にかなくなった、というのは管理していないことを表している。まずは、個人情報授受の動線確認と起点、終点を細分設定し、都度、複数の担当者による確認をすべきである。個人情報が記録されているDVDは、その情報量の多さを重く鑑み、施錠管理する収納庫から「出すとき」「戻すとき」に、管理簿に記載すべきであり、この管理がなされていないので、いつの間にか無くなった、というお粗末な回答が出てくることになる。明白に組織的な管理体制の欠陥であり、個人情報の移動と共に本来管理すべき導線が切れていることになる。「なくさないように気をつけましょう」という宣言では再発防止策にはならない。

具体例:

個人情報の重要性はスローガンとしては掲げれるが、多忙な日常業務の中で扱っていると、その重要性への認識が疎かになってしまうのが、心理である。だからこそ、対策の具体性が企業に求められるのである。
まず、個人情報を取り扱うときには、面倒な管理台帳に、出し入れや利用目的などを、作業者の個人名とともに記録させることで、取り扱う個人の自覚と責任を明示させる大切になってくる。自分の名前を書くことが、出した個人情報を完全な形で元に戻す責任を持たせることである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。