事故から学ぶ

マスキング処理が不十分で、個人情報が流出 神奈川県

事故概要

業種 神奈川県 地方自治体
発生時期 2019/03/27-2019/09/12
漏えい人数 1人
事故概要

神奈川県は13日、架空請求への注意喚起をするために県のホームページ(HP)上に掲載していた封筒の実物写真のマスキング処理が不十分で、個人情報が流出したと発表した。郵便番号と住所、氏名を黒塗りするマスキング処理をしていたが、特定のソフトウエアを使うと比較的容易に外せ、内容を判読できる状態だったという。
県消費生活課によると、封筒は県民から提供されたもので、今年3月27日からHP上で公開していた。今月12日にメールで指摘があり、同課はその日のうちに写真を削除した。これまで提供者に被害は確認されていないという。

引用元 カナコロ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-19 (第21条)従業者の監督 “作業ルールの徹底(誤開示防止)

チェックリストにある要求ルール:

ホームページに情報を掲載する際、個人情報、社外秘情報が含まれていないことを、複数回チェックしていますか。掲載後にも直ちにこれらの情報が掲載されていないかチェックしていますか。

■ 推奨対策

対策:

「マスキング処理をしていたが、特定のソフトウエアを使うと比較的容易に外せ、内容を判読できる状態だった」という事案に対し、担当者の知識不足であった、という指摘だけでは根本的な解決にはつながらない。

具体例:

デジタル処理でマスキングしたものは、デジタル処理で外すことができる、という単純なリスクであっても、実効性を持った対処を行うには、複数の知見を足し合わせることが必要だ、という事例である。
いまのデジタル社会は、自分が興味を持ち、自分が知っていることだけで業務上のリスクを予防するのは困難を伴う。予防策、防止策の弱点を知るための努力が必要で、ネットで調べる、職場の同僚とリスクについて情報交換する、など、密室ではなくオープンな環境で情報収集する時代になっている。
あと少しの手間で防げた可能性がある事例である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。