事故から学ぶ

高校教諭が個人情報含むUSBメモリを紛失、匿名で届き判明 – 埼玉県 –

事故概要

業種 地方自治体
発生時期 2021/6/21
漏えい人数 169
事故概要

埼玉県の県立高校において、教諭が個人情報を保存した私物の記憶媒体であるUSBメモリを不注意で紛失していたことがわかった。匿名で届き、紛失が判明したという。
同県によれば、6月21日に坂戸市内にある飲食店の前で拾得したとして同県教育委員会にUSBメモリが匿名で届けられたもの。内容を確認したところ、県立高校教諭の所有物であることが判明した。
問題のUSBメモリには、試験結果や成績、座席表など、生徒によって対象となる情報は異なるが、担当する4クラス169人分の個人情報が保存されていた。データの暗号化などは行われていない。
今回USBメモリが届いたことではじめて教諭は紛失に気がついたという。私物のUSBメモリを利用するには、上長の許可が必要だったが、許可は得ていなかった。
今回の問題を受け、同校では対象となる生徒の保護者に対し書面を配布し、報告と謝罪を行っている。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-17(第20条)安全管理措置(第21条)従業者の監督作業ルールの徹底(電子データ、情報機器の紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
PCの画面などを第三者に見える形で使用していませんか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?

■ 推奨対策

対策:

日常業務で使用している情報機器は、使用者の慣れにより管理が甘くなる傾向がある。保管管理の習慣化が必要である。

具体例:

保管管理機能を有効化するため、収納時と持ち出し時の2名の立ち合いと記録付けが必要である。
ただ、保管行為自体がないとダブルチェックも機能しないので、収納忘れを防止するために、今度は作業所ないの整理整頓と最終確認も必要となる。
病院であれば交代勤務が一般的であるから、だれがやっても収納と点検まで完遂できるように習慣化が必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。