事故から学ぶ

被保険者や求職者情報含むバックアップ媒体を紛失 – 厚労省

事故概要

業種 厚生労働省
発生時期 2020/10/12
漏えい人数 410
事故概要

厚生労働省は、マイナンバー含む個人情報が保存された記録媒体が所在不明になっていることを明らかにした。
同省によれば、1月に常陸鹿島公共職業安定所から撤去したハローワークシステムの旧サーバにおけるバックアップメディア1個が、保管していた保守用備品ボックスごと所在不明となっているもの。10月12日に判明した。
所在がわからなくなっているメディアには、雇用保険手続きや求職申し込みなどに関する申請書をスキャナで読み取った410件の画像データとOCRによる文字情報が記録されている。
被保険者や求職者の氏名、住所、電話番号、生年月日、性別、口座番号など352件の個人情報が含まれる。そのうち196件にはマイナンバーも含まれていた。データは暗号化されているという。委託業者により撤去が行われた後、機器に関連する他備品とともに保守用備品ボックスに格納。一時保管場所である物流センターへ搬入、保管していたが見当たらないという。物流センターからデータ消去センターへは搬出されておらず、センター内部で紛失したものと見られる。
同省では紛失した媒体にデータが記録されていた被保険者や求職者の特定作業を進めており、連絡が可能な人には事情を説明して謝罪する予定。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データの紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?

■ 推奨対策

対策:

記録媒体の種類が発表されていないが、持ち出された痕跡がないから外部流出していない、という点があいまいである。個人情報を記録した電子媒体は厳密な管理がなされるべきで、組織全体の統制が取れていないことが原因である。

具体例:

多忙を理由に管理がおろそかにされがちだが、漏えいしたらそのリカバリーのために、専任者を1-2名、通常業務から外すことを考えたら、リカバリー負荷がどのようなものか想定されると思う。多忙であっても日常の小さな気づきは手を止めて確認すべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。