事故から学ぶ

総務省、IIJに行政指導 個人情報漏えいで

事故概要

業種 民間企業
発生時期 2021/9/30
漏えい人数 254
事故概要

総務省は9月30日、一部サービスで個人情報の漏えいがあったとして、インターネットイニシアティブ(IIJ)に対し、電気通信事業法に基づく行政指導を書面で行ったと発表した。総務省は同社に、再発防止策の徹底とデータガバナンスの強化を求めている。
情報漏えいは、2020年3月から21年7月にかけて計6件発覚。内訳は他社MVNOとの通話記録(16回線、138通話)、法人ユーザーのメールアドレス(法人契約6契約、メール106通)、過去に同じ電話番号を使用していたユーザーのSMS送信数(254件)とデータ通信への接続履歴(個人契約の2ユーザー)、別ユーザーの日別のデータ利用料(個人契約の1ユーザー)、電話番号の一部や請求金額、契約情報(個人契約の254ユーザー)。
同社は原因について「ソフトウェアの不良、作業時の誤認によるデータ不整合」と説明。該当するユーザーには既に説明と謝罪をしているという。
同社は行政指導に対し「このたびの行政指導を厳粛に受け止め、全社を挙げて再発防止に向けた対策を実施し、お客さまからの信頼回復に努めてまいる」としている。

引用元 YAHOO

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

((第21条)従業者の監督 意識付け教育 ルールの徹底
(誤開示防止)

チェックリストにある要求ルール:

採用の際に守秘義務や罰則規定があることを知らせるなど、従業者に秘密を守らせていますか?
社内にある個人情報を盗み出したり、売買したりしないように従業者に教育をしていますか?
社内にある個人情報を、直接業務に関係ない従業者が閲覧できないようにしていますか?また閲覧を禁止する教育をしていますか?
社内にある個人情報を無断で持ち出したり、コピーしないように、しっかりと指導していますか?
情報管理の大切さなどを定期的に説明するなどのように、従業者に意識付けを行っていますか?
外部からの個人情報に関する問い合わせに回答しないルールを徹底していますか。
個人情報は取得時にあらかじめ同意を得た利用目的の範囲で使用することを守っていますか。
個人情報に対する従業者の感度を高める教育をしていますか?感度を高めることがリスクに対する気づきを生み、事故を減らすことができます。
個人情報を含む書類を個人情報の所有者(本人)に渡す際、本人確認をし、その上で本人が要求しているもの、あるいは本人に渡すべき書類であることを確認していますか?
同姓同名の人に誤って送信送付したり、あるいは情報を取り違えてPCに入力したり、記載したりしていませんか?
会議資料、セミナ資料など、配布や送付する資料に個人情報が含まれていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
出力して外部に渡す書類に不要な、あるいは間違った個人情報が印字されていないか確認しましたか?

■ 推奨対策

対策:

誤開示(ご配布)は、漫然と仕事を進めた結果であるが、再発防止は管理面から考える必要がある。
ホームページへの誤掲載、同姓同名で書類を間違って公布したあるいは送付した、公布文書に余分な起債が残っていた、黒塗り開示したが読めてしまった、など漏えいリスクは多種多彩であるが、対策は「今後は注意します」の一言で終わってしまう。
それでいいのだろうか。

具体例:

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
左記に上げた様々な漏えいリスクに対する漏えい防止策に管理ポイントを設定し、ポイント毎に自分で自分に仕事の完了をコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。