事故から学ぶ

東京都が住民約100人の個人情報をホームページに誤掲載

事故概要

業種 県 地方自治体
発生時期 2021/1/28-2021/2/3
漏えい人数 100
事故概要

東京都は、町内会の代表およそ100人の氏名や住所などの個人情報を誤って都のホームページに1週間、掲載していたことを明らかにしました。都によりますと、誤って掲載していたのは、1つの区の町内会の代表およそ100人分の氏名と住所、それに電話番号です。
掲載されたのは、都の入札情報を公表するページで、1月末から2月3日までの1週間、だれでも閲覧できる状態でした。
都の水道事業の広報誌の印刷などに関する入札情報に、この広報紙の配布先であるおよそ100人の個人情報が含まれていたということで、職員が誤って個人情報も含めた状態で掲載したのが原因です。
都は全員に謝罪したということです。
都水道局は「資料の公表にあたっては確認を着実に行うよう周知徹底を図ります」としています。

引用元 NHK

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督 作業ルールの徹底
(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

町内会の情報は振り込め詐欺や訪問詐欺に使われるため、注意を要する情報である。
誤掲載の経緯詳細が不明だが、掲載内容の2段階確認を確実に実施すれば防げる事故である。手抜きである。

具体例:

掲載内容の確認は、当然書き起こした人物は正しいと信じて作成しているので、本人の確認だけでは誤掲載を見つけられないことは想定に範囲内である。したがって別の人物が確認を行うべきであるが、業務多忙であると確認をおろそかにする組織亭な手抜きが行われる。2段階認証は、後からチェックした人が責任者になることをもう一度理解させておく必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。