事故から学ぶ

教員が個人情報紛失、名古屋市教委へ届き10カ月後に回収 – 大阪市

事故概要

業種 大阪市 地方自治体
発生時期 2019/06/1
漏えい人数 59人
事故概要

岐阜県は、県立高校に体操服を納入する業者が、新入生の個人情報が記載された名簿を紛失したことを明らかにした。
同県によれば、生徒の氏名を体操服に刺繍するため貸し出した名簿を、体操服の納入業者が紛失したもの。新入生121人分の氏名、学科、性別、整理番号が記載されていた。
3月18日に業者に生徒の名簿を貸し出し、教諭が4月8日に業者に名簿の返却を求めたところ、紛失していることが判明した。
同月17日に警察へ紛失届を提出。同校では、全生徒および保護者に説明と謝罪を行った。また同県教委では、業者への個人情報提供の必要性を見直し、廃止を念頭に検討するよう県内学校へ通知した。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-18(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底 (紙データの紛失防止)

チェックリストにある要求ルール:

紙書類の持ち出し時はカバンに入れ、落下や風による飛散を防いでいますか。
紙書類の輸送や移動が伴う場合は、社外への落下防止、万一落下した時に書類が飛散散逸しないよう箱に入れて輸送をしていますか。
重要情報入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを見につくまで、徹底教育していますか?
個人情報が記載されたを書類を、机の上に放置せずに、書庫に保管し施錠するなど、紙データの紛失防止していますか?作業を中断した際は、机に放置せず、その都度保管庫に戻していますか?
外出先や自分の机以外の場所で作業をしたときは、確実にカバンに戻したことを確認していますか?この確認は一人で行うため、カバンに入れたこと、作業場所に何も残っていないことの2面で確認していますか?
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?また保管庫の施錠時には、内容確認を2名以上で実施していますか?
個人情報の持ち出しは、規定に沿って許可を得て行っていますか?
個人情報が記載された書類を第三者に見せたり、あるいは見える状態にしていませんか?

■ 推奨対策

対策:

この事案は少し深い意味合いがある。
・私物の手帳に公用(業務)の個人情報を記載した。
・公的な業務書類紛失ではないため報告しなかった。

この条件に対応する個人情報保護マニュアルを作っている組織は少ないと思われる。

同様の事案は他の組織でも発生していると思われるため、組織への警鐘になる事案である。

具体例:

私物のPCやUSBに仕事で使用する個人情報を保存するな、という警鐘はよく目にするし、紙情報のコピーも同様に注意喚起がなされている。
私物の手帳にパスワードをメモをする行為は禁止されていても、連絡先のなどの個人情報そのものをわざわざ記入禁止とマニュアルに記載し、注意喚起と教育の徹底が図られていることは少ないのではないか。
繰り返し警鐘をならす事案の一つである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。