事故から学ぶ

GWで人手不足を理由にダブルチェックせずHPに感染者氏名を誤掲載 。愛知県

事故概要

業種 愛知県 地方自治体
発生時期 2020/05/5
漏えい人数 395人
事故概要

GWで確認怠る 愛知県、感染者氏名のHP誤掲載
愛知県は5日、新型コロナウイルス感染者の個人情報を誤ってホームページ(HP)に一時掲載していたと発表した。4日現在の感染者490人全員の入院先や入退院日、クラスター(感染者集団)名などの情報で、うち396人分は氏名も掲載されていた。
県によると、誤掲載していたのは5日午前9時半~10時15分の45分間。県の公式HP内で毎日更新している感染者の一覧表で、本来は年代や性別、居住市町村などに限って掲載するはずが、氏名や入院先の医療機関名なども見られる状態になっていた。名古屋、豊田、岡崎、豊橋市が県と入院先の調整をせずに発表した感染者の氏名は掲載されていなかった。
誤掲載を指摘する問い合わせが10時5分以降に3件あったことで発覚。個人情報が含まれた一覧表のファイルには閲覧可能時間内に362人からアクセスがあったが、県は「他媒体への流出は確認できていない」としている。
一覧表をHPに掲載する際には原本から個人情報を削除したファイルを新たに作っているが、4日夜に作業した職員は原本を削除し忘れたまま掲載操作をしていた。本来の手順では別の職員が掲載操作前に確認するはずだが、大型連休中で人員を確保できず、1人で作業していたという。
県庁で記者会見を開いた吉田宏・県保健医療局長は「風評被害の防止に率先して取り組むべき県がこうした事態を引き起こしてしまい、関係者に深くおわび申し上げる」と陳謝した。
再発防止策として、原本を作成しているエクセルではなく複写不可能なPDFに変換したファイルのみをHPに掲載し、複数での確認体制を徹底するという。

引用元 中日新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-19(第21条)従業者の監督 作業ルールの徹底(ホームページ誤開示防止)

チェックリストにある要求ルール:

ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?

■ 推奨対策

対策:

規則があるのには意味がある。
現場判断で規則を無視したために発生した事故だが、引き起こした事故は重大である。
GW中でダブルチェックをすべき人を確保できず、一人で作業をした結果、という説明は通る筈がない。これからの風評被害が心配な事案である。

具体例:

重大な個人情報漏えい事例として長く伝えられることになる事案である。
事態を引き起こした本人の問題より、一人で作業をする判断をさせてしまう組織であったこと、人手不足であっても相互確認する仕組みを用意できていない組織であったこと。本件は組織と仕組みの問題である、という認識を持って対策を考えていかなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。