事故から学ぶ

在宅医療機器関連の個人情報、発送後所在不明に – フィリップス

事故概要

業種 在宅医療機器サービス
発生時期 2020/01/15頃
漏えい人数 1,671人
事故概要

フィリップス・ジャパンは、個人情報を含む文書が所在不明となっていることを明らかにした。同社によれば、個人情報含む郵便物が、1月中旬ごろより所在がわからなくなっているもの。同社在宅医療機器やその関連製品の利用者に関する氏名1671件が含まれていた。
同社は、取引先へ信書扱いである日本郵便のレターパックプラスで発送したとしており、ポストへの投函後、郵便局で受け付けが行われるまでの間になくなった可能性が高いと説明している。
同社では今後、個人情報を含む文書を郵送する際には、従業員が郵便局へ直接持ち込み、受け取りについても記録の残る方法で行うとしている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-13(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(郵送の誤送付防止)(添付ファイルの誤送信防止)

チェックリストにある要求ルール:

個人情報を含む重要情報を出力、郵送やメールで送付する場合、本当に送付する必要があるか、同封書類に誤りがないか、添付ファイルに誤りがないか、不要な情報が含まれていないか、送付先に誤りがないか作業者と確認者の二重で確認をしていますか。送付記録をつけていますか?
個人情報を郵送する場合、書留などの追跡可能な郵便を利用していますか。
個人情報を郵送する場合、直接郵便窓口に持参するなど、郵便局への引き渡しを確実なものにしていますか?
圧着ハガキは裏面が剥がれにくい秘密保持に適したタイプを選択していますか?

■ 推奨対策

対策:

日本の郵便は世界的にも紛失件数が少ないことが知られているが、それでも皆無ではない。
対策にあるように、個人情報を郵送する必要性があるならば、直接窓口に持参しレターパックなどの追跡可能郵便で送ることが望ましい。

具体例:

郵送を廃止する方法が無いかが先に検討すべき事柄とも考えられる。個人情報が記載された書類を他社に引き継ぐ場合、他社が受け取るまでが自社管理責任であるため、事故防止策の第一位は廃止である。再検討できないものだろうか。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。