事故から学ぶ

TOP > 事故から学ぶ > 組織の欠陥による不正 > 委託先従業員がシステムを不正閲覧、個人情報を漏洩 – 神戸市

2020/04/03

委託先従業員がシステムを不正閲覧、個人情報を漏洩 – 神戸市

事故概要

業種	神戸市　地方自治体
発生時期	2019/09/1
漏えい人数	1人
事故概要	神戸市が出資する第三セクターのOMこうべは、同社が運営するショッピングセンターにおいて、委託先の従業員が情報システムを業務に関係なく閲覧し、顧客の個人情報を外部へ漏洩したことを明らかにした。 2019年9月ごろ、同社が運営するショッピングセンターのインフォメーションカウンターを担当する委託先従業員が、会員情報システムを業務に関係なく閲覧。同顧客が同社が発行するポイントカード「神戸ウェストメンバーズカード」の会員であることを第三者に伝えていたもの。 1月29日に顧客から自身の会員登録情報が漏洩しているのではないかとの問い合わせがあり、調査を行ったところ2月26日に判明した。情報漏洩は1件のみだとしている。同社では、問題の従業員をショッピングセンターの勤務からはずし、厳正に対処するよう委託先に求めた。対象となる顧客に対しては、事情や再発防止策などを説明し、謝罪を行っている。また今回の問題を受け、会員情報を扱った際に履歴をスタッフごとに取得し、詳細を記録するよう対策を講じたほか、委託先に従業員教育の徹底を求めたという。
引用元	Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
（第20条）安全管理措置　パソコン利用教育（私用禁止）

チェックリストにある要求ルール：

職場のパソコンを私用で使わない、アクセスしてよいサイトを制限する、などの社内規則を定めていますか？パソコンを利用する際の社内規則遵守を徹底していますか。
規則を守っているか、確認、監査をする体制を整えていますか？
業務端末でのウェブサイトの掲載や閲覧、SNSへの書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか？
不正使用しないように従業者から誓約書を取っていますか？

■ 推奨対策

対策：

不正なアクセスにより知りえた個人情報を外部に漏らした、というのは犯罪行為になる。
システムにアクセスできる人物への、個人情報保護に対する十分な教育と指導、監視を行っていなかったという点では組織としての保護意識が欠如していると思われる。特に顧客からの通報で漏えいが発覚した、という点ではまったく管理監督を行っていないことが露呈している。

具体例：

不正を行える職場環境を改めることが先決である。
悪いことをしても誰にも気づかれない、あるいは放置されていると本人が感じる職場では、不正は連鎖的に複数回行われてしまう。
根本から組織を見直すべきである。