事故から学ぶ

教育センターで生徒の個人情報含むUSBメモリを紛失 – 新潟県

事故概要

業種 新潟県 地方自治体
発生時期 2020/9/14
漏えい人数 確認不能
事故概要

新潟県は、同県教育センターの職員が、生徒の成績などの情報が保存されたと見られるUSBメモリを紛失したことを明らかにした。
同県によれば、9月14日15時半ごろ、職員が個人で所有するUSBメモリを紛失していることに気付いたもの。9月11日19時半ごろ、公共交通機関内で同USBメモリを使用したが、以降の所在がわかっていない。
問題のUSBメモリには、担当科目に関する資料のほか、過去の勤務校における生徒の成績なども保存されていた可能性があるが、「職員の記憶によるもので、保存されていた情報を特定できない状況(同県)」だという。
同センターでは、許可のもと専用のUSBメモリを利用する必要があったが、同職員はセキュリティポリシーに反して個人所有のUSBメモリを使用していた。同県では引き続き調査を進め、処分なども検討するという。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データ、情報機器の紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
PCの画面などを第三者に見える形で使用していませんか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

個人情報が含まれたUSBの紛失事故である。
USBは無くすもの、という前提で取扱規則(できれば使用禁止)を作りなおしていただきたい。
暗号化はされていたので、最悪の一歩手前で漏えいしなかったとも思われるのが唯一の救いである。

具体例:

「このたびの事案を重く受け止め、改めて全職員に対して個人情報の管理・運用について徹底した注意喚起を行い、各種個人情報の保護対策を一層強化し、適切な管理及び運用の厳格化に努めてまいる所存です」と発表されているが、具体的な再発防止策がイメージできるだろうか?
事故防止はポリシーや概念、方向性を示すことではなく、一人一人が何をしなければならないかを示すことである。現場にはブレークダウンした内容が展開され、実行されていくことを期待する。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。