事故から学ぶ

保健所で新型コロナ接触者情報が流出 – 岐阜県

事故概要

業種 県 地方自治体
発生時期 2021/1/19
漏えい人数 34
事故概要

岐阜県は、関保健所において新型コロナウイルス感染症の接触者に関する個人情報を誤って無関係の事業者へメール送信するミスがあったことを公表した。
同県によれば、新型コロナウイルス感染症の積極的疫学調査のため、2事業者に対し接触者一覧表の作成を依頼した際、別の事業者に関する接触者の個人情報が含まれるファイルを誤って送付したもの。
問題のファイルには、34人分の氏名や住所、電話番号、性別、生年月日のほか、症状の有無や基礎疾患、接触者の区分、接触の状況などが記載されていた。
1月9日10時半ごろ、職員がファイルを事業者へ送信。さらに翌10日16時前、別の職員が同じ様式ファイルを、別の事業者へ送信した。
14日になり、ファイルを受信した事業者から連絡があり判明。誤送付先となった事業者と個人情報が流出した事業者に対して経緯を説明し、謝罪するとともに誤送付したメールの削除を依頼した。また、個人情報が流出した34人に対しても報告や謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

重要情報をメール添付することが想定できる場合、錯誤しやすいファイル名にしないこと、ファイル内に本来送付すべきではない情報がないことを確認すること、という注意事項があるのでこれを遵守することである。

具体例:

添付ファイルの正誤確認をダブルチェックすること、という指示であるとファイル名だけの確認に終わることがある。
比較的知られている事例では、EXCELの2枚目のシートに個人情報が入っていたが、1枚目だけしか確認しなかったために漏えいしたという事故。ワードやPDFの最終ページ付近に別表の形で個人情報がふくまれていることなどがある。
ファイル名だけではなく最終ページまで目を通すことが必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。