事故から学ぶ

個人情報が保存された記憶媒体の紛失について 名古屋大学

事故概要

業種 大学
発生時期 2020/8/7
漏えい人数 61
事故概要

このたび、名古屋大学医学部保健学科の教員が、学生の個人情報が保存された記憶媒体(USBメモリ)2本を紛失したことが発覚しました。これらのUSBメモリ中、1つのUSBメモリには学生52名分の氏名、実習評価点数、実習評価の情報が、もう1つのUSBメモリには学生9名分の氏名、生年月日等の情報が、各ファイルにパスワードをかけた状態で保存されておりました。
同教員は、8月7日(金)、USBメモリをペンケースに入れ、鞄に収納し学外へ持ち出し、8月12日(水)にペンケースがないことに気づいたため、直ちに自宅等を捜索しましたが、発見には至りませんでした。翌日以降、職場をはじめ、ペンケースを紛失した可能性がある場所を捜索し、近隣の交番に届け出ましたが、現在まで発見には至っておりません。
現時点では、今回紛失したUSBメモリに保存されていた個人情報に関して、不正流用等の事実は認められておりません。該当する学生の方々には、既に事実関係をご説明し、ご迷惑をおかけしたことについてお詫び申し上げたところです。
これまでも全職員に個人情報保護に関する注意喚起を行い、研修等を行うなど、個人情報の保護に努めてまいりましたが、このような事態を招き、大変申し訳なく思っております。このたびの事案を重く受け止め、改めて全職員に対して個人情報の管理・運用について徹底した注意喚起を行い、各種個人情報の保護対策を一層強化し、適切な管理及び運用の厳格化に努めてまいる所存です。

引用元 名古屋大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データ、情報機器の紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
PCの画面などを第三者に見える形で使用していませんか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

個人情報が含まれたUSBの紛失事故である。
USBは無くすもの、という前提で取扱規則(できれば使用禁止)を作りなおしていただきたい。
暗号化はされていたので、最悪の一歩手前で漏えいしなかったとも思われるのが唯一の救いである。

具体例:

「このたびの事案を重く受け止め、改めて全職員に対して個人情報の管理・運用について徹底した注意喚起を行い、各種個人情報の保護対策を一層強化し、適切な管理及び運用の厳格化に努めてまいる所存です」と発表されているが、具体的な再発防止策がイメージできるだろうか?
事故防止はポリシーや概念、方向性を示すことではなく、一人一人が何をしなければならないかを示すことである。現場にはブレークダウンした内容が展開され、実行されていくことを期待する。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。