事故から学ぶ

福祉事業所職員がUSBメモリー紛失 利用者100人分の個人情報入り 京都市

事故概要

業種 市 地方自治体
発生時期 2019/12/10
漏えい人数 100人
事故概要

京都市は、障害児通所施設や訪問介護事業を運営する事業所「アドナース」(西京区)が、利用者100人分の個人情報が記録されたUSBメモリーを紛失していたと明らかにした。市は16日付で個人情報の取り扱いなどが不十分だったとして改善勧告を出した。
市によると、USBメモリーには重症心身障害児の放課後等デイサービス「バンブー」を利用する児童21人と保護者、訪問介護の利用者79人の氏名が入っていた。児童については受給者証番号や障害児種別などの情報も記録されていたという。
昨年12月10日、総務担当の職員が利用者負担や給付費の請求事務を行うため、USBメモリーにデータを保存。通勤などで持ち歩き、翌日、紛失に気付いた。USBメモリーは見つかっていない。不正使用は確認されていないという。
市は今月16日、事業所の他の職員も個人情報の取り扱いが不十分だったとして、個人データに関する安全管理を講じることなどを求める改善勧告を出した。

引用元 京都新聞社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データの紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?

■ 推奨対策

対策:

報告には、USBを規則に反して利用及び持ち出したのか、許可を得て持ち出したのかが記載されていないが、運用面から規則違反がないのか調べる必要がある。
USBは小さいから無くすので物理的に存在を示す対策をとる必要がある。

具体例:

勝手に持ち出したとするならば、職場の相互監視が効かない、自己判断で勝手に持ち出すという職場モラルを問う必要がある。
許可を得て使用していたとするならば、USBを使用しないように業務改善することをお勧めする。
USBだけに的を絞ると以下の対策が活用されている。
・首掛けストラップの取り付け
・ポケットに入れられないようハガキ大のタグの取り付け。
・USB使用許可PCの数を減らし、管理者前で作業を行い終了したら直ちに保管庫に戻す。
・USBを使用する作業は2名もしくはそれ以上で行う。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。