事故から学ぶ

コロナ宿泊療養施設で患者情報を誤送信 – 奈良県

事故概要

業種 県 地方自治体
発生時期 2020/12/23
漏えい人数 71
事故概要

奈良県は、新型コロナウイルス感染症軽症者のための宿泊療養施設において、入所している療養者の個人情報含むファイルを誤って第三者へ送信する事故があったことを明らかにした。
同県によれば、12月23日21時ごろ、翌日にパソコン機器の入れ替えを控えていたことから、同施設で勤務する看護師がパソコン内部のデータを一時的に移動させるため、メールで送信しようとしたところ、誤ったメールアドレスに送信したもの。
誤送信したデータには、12月23日時点で入所している療養者71人分の氏名、性別、発症日、入所日、退所日のほか、一部療養者については既往症なども記載されていた。
翌24日に誤送信先へメールで謝罪し、データの削除を依頼。返信がないため、プロバイダーに確認中だという。情報が流出した療養者に対しては、報告と謝罪を行ったとしている。
(Security NEXT – 2020/12/25 )

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

重要情報をメール添付することが想定できる場合、錯誤しやすいファイル名にしないこと、ファイル内に本来送付すべきではない情報がないことを確認すること、という注意事項があるのでこれを遵守することである。

具体例:

添付ファイルの正誤確認をダブルチェックすること、という指示であるとファイル名だけの確認に終わることがある。
比較的知られている事例では、EXCELの2枚目のシートに個人情報が入っていたが、1枚目だけしか確認しなかったために漏えいしたという事故。ワードやPDFの最終ページ付近に別表の形で個人情報がふくまれていることなどがある。
ファイル名だけではなく最終ページまで目を通すことが必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。