事故から学ぶ

県立高サイトで進路先など個人情報を誤掲載 – 宮城

事故概要

業種 地方自治体
発生時期 2021/5/20
漏えい人数 272
事故概要

宮城広瀬高校において、卒業生の進路先情報など含むファイルを誤って同校ウェブサイト上で公開するミスが発生した。
同県によれば、2020年度に同校3年生として在籍した生徒272人に関する氏名や受験大学などの進路情報を含む表計算ファイルを誤って同校のウェブサイト上で掲載していたもの。5月20日14時半ごろ公開したが、5月28日に外部より指摘があり問題が判明。同日9時前に同ファイルの掲載を中止した。
本来、表計算ファイルにある進路決定状況の集計結果をPDFファイルとして公開するところ、誤って別シートに集計結果の元データを含む表計算ファイルをそのまま公開してしまったという。承認後教員1人で作業を行い、複数による確認なども行っていなかった。
同県では、対象となる関係者へ電話や文書で謝罪。今後は、情報の掲載時には複数の教員により、確認しながら作業を進め、掲載後に内容の誤りがないか確認するなど再発防止に努めるとしている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19(第21条)従業者の監督作業ルールの徹底
(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないか確認していますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

行政機関で個人情報を誤ってホームページに掲載した事案である。外部からの指摘で掲載されていることを発見した、ということで、職場内での事前確認をすれば防げた可能性が高い。

具体例:

行政は多忙を理由にホームページへ掲載内容の事前確認が不十分で、個人情報を誤掲載するケースが散見される。慌てて掲載せず、必ず重複確認を経て掲載するルールの徹底を計って頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。