事故から学ぶ

総務省行政管理局で個人情報漏えい

事故概要

業種 総務省
発生時期 2020/12/4
漏えい人数 10
事故概要

総務省行政管理局が所管するe-Gov※における電子申請において、申請者の入力画面に、別の申請者の情報が表示される事案が10件発生していることが判明しました。
関係の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。
※e-Govは、行政手続のオンライン化のために各府省が共通で利用するシステム
1 概要
e-Govで電子申請を行う際に利用する入力画面(申請者情報、連絡先情報などを入力するもの)に、別の申請者の情報が表示される事案が10件発生いたしました。この情報の中には、個人情報(法人の担当者氏名及びメールアドレス)が含まれていました。
2 対応状況
このような事案が発生した原因はe-Govの不具合であったため、これを修正するとともに、ご迷惑をおかけした関係者に対し、事実の報告及び謝罪を行っております。
3 今後の対応
今回の事態を重く受け止め、今後、このような事態が生じないよう、個人情報の厳重かつ適正な管理及び取扱いを徹底し、再発防止に努めてまいります。

引用元 総務省

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

Govの不具合であったため、これを修正する、原因と対策を述べているが、もう少し踏み込んだ追及をしないと防止策にならない。

具体例:

組織的に更新確認を行う意識と確認体制づくりが必要である。複数の目で見ることでミスを見つけられる確率が高まる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。