事故から学ぶ

個人情報記録HDD紛失/弘前消防事務組合

事故概要

業種 弘前消防事務組合
発生時期 2020/11/27
漏えい人数 30
事故概要

弘前地区消防事務組合は27日、40代男性職員が個人情報などを記録した外付けハードディスクドライブ(HDD)を無許可で庁舎外へ持ち出した後に紛失したと明らかにした。少なくとも管内に住む6人分の個人情報が記録されており、組合は同日までに当事者に経緯を説明し、謝罪した。
組合によると、男性職員は弘前消防署の消防隊員。HDDは私物で、男性職員が担当した2019年と20年の2件の火災調査書類が記録されており、火災当事者ら6人分の氏名や生年月日、住所、電話番号などが含まれていた。27日午前現在、第三者による不正利用などは確認されていない。このほか10件程度のデータが記録されているとみられ、最大で約30人分の個人情報が含まれている可能性がある。
会見した長尾幸喜消防長は「消防への信頼を著しく失墜させた。地域住民の皆さまに深くおわび申し上げるとともに、情報管理の徹底に努め、信頼回復に全力で取り組む」と陳謝。再発防止策については、組織内の情報セキュリティ委員会で情報管理の在り方の見直しなどを早急に検討するとした。

引用元 陸奥新報

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データの紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?

■ 推奨対策

対策:

外付けハードディスクドライブ(HDD)が不正に持ち込まれ使用された、という点に着目すると、教育と管理の両面で安全管理基準を満たしていないことがわかる。つまり、組織的な怠慢である。
なおデータを盗み出しているので、窃盗罪に該当する。さらに盗み出した理由・目的次第によっては懲戒解雇の対象でもある。

具体例:

多忙を理由に管理がおろそかにされがちだが、漏えいしたらそのリカバリーのために、専任者を1-2名、通常業務から外すことを考えたら、リカバリー負荷がどのようなものか想定されると思う。多忙であっても日常の小さな気づきは手を止めて確認すべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。