事故から学ぶ

高知市が検査協力医療機関の個人情報漏えい

事故概要

業種 県 地方自治体
発生時期 2021/1/29
漏えい人数 300
事故概要

高知市は、新型コロナウイルスの検査を受けた人の個人情報を管理するシステムにアクセスするためのIDやパスワードなどを誤ってメールで送信したと発表しました。
これまでにシステムに不正なアクセスがあった形跡はなく、流出したIDやパスワードはすでに削除したということです。
高知市によりますと先月29日、市内の医療機関の医師に、PCR検査が可能な検査協力医療機関の一覧をメールで送信する際、誤って各医療機関の職員の個人情報が入ったファイルを送信したということです。この際、医師からメールアドレスの訂正があったため、この医師のほかに実在するかわからないメールアドレスにも同じファイルを送信したということです。
ファイルには、検査協力医療機関の職員の名前と電話番号のほかPCR検査を受けた人の検査結果などの情報を管理する厚生労働省のシステムへのアクセスに必要なIDとパスワード、およそ300人分が含まれているということです。
市によりますと、これまでのところ、このシステムに不正なアクセスがあった形跡はなく、IDやパスワードはすでに使用できないよう削除したということです。
高知市保健所の豊田誠所長は、「個人情報の取り扱いにはいっそうの注意を払い、再発防止に努めます」とコメントしています。

引用元 kochi shinbun

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-6(第20条)安全管理措置 パソコン利用教育(メール送信・添付ファイル送信ルール)

チェックリストにある要求ルール:

重要情報や個人情報をメールで送る時は,メール本文に記載せず、重要情報は添付ファイル形式にして、さらにパスワード保護するなどのように、重要情報の保護をしていますか?
メールに添付する場合、不要なファイルを添付していないか確認していますか?
電子メールの送信先に誤ったファイルが添付されていないか、ファイルを開いて確認してから送信していますか?
重要情報が含まれる電子メールを送る前には、送信アドレスを再確認していますか?自分以外の人にも確認をしてもらっていますか?
複数の相手先への送信時はTOではなくBCCを使用していますか?
似たアドレスや似た名前の人のメールアドレスは、注意して確認していますか?
データ送信時に不要な個人情報が含まれていないことを、複数の人で確認していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

メールアドレスの選択ミスが個人情報漏えいに繋がった。
メールアドレスの選択時に別のアドレスを選択したり入力したりしてしまうことが多々あり、しっかり確認すること、というのが標語になるぐらい多発するミスである。

具体例:

キーボード入力履歴を活用して、入力操作の軽減を図る機能のオートコンプリート(予測変換)も、意図しない人を入力する助けにもなってしまう。最後の責任は入力した自分自身であることを自覚し、たかがメールだがしっかり確認することを習慣づけることである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。