事故から学ぶ

個人情報を含むパソコンの盗難について 広島大学

事故概要

業種 行政の職員
発生時期 2021/11/19
漏えい人数 423
事故概要

本校の生徒及び教職員の個人情報を保存していた教員用パソコン1台の盗難被害が判明いたしました。現時点でデータの流出・不正使用等は確認されておりません。
保護者をはじめ関係の皆様に、多大なるご心配とご迷惑をお掛けしましたことを、心よりお詫び申し上げます。 今後、二度とこのような事態が起きないよう、全校を挙げて再発防止に取り組んでまいります。
1.概要
令和3年11月19日(金)朝、校舎内に置いていた教員用ノートパソコン1台が見当たらないことに使用者である教員が気付きました。校舎内外を探しましたが見当たらず、盗難の可能性が高いと判断して、同日、警察へ通報いたしました。その後、被害届を提出し、現在も警察による捜査が行われているところです。
2.パソコンに保存されていた個人情報
(1)平成30~令和3年度在籍の生徒に関する情報 …423人分
〇卒業生の氏名、生年月日
〇欠席生徒の氏名、欠席理由等
(2)平成30~令和2年度実施の入学調査応募者に関する情報(パスワードによる保護あり)…68人分
〇一部の応募者の氏名、小学校時の成績等
(3)平成30~令和3年度在籍の教員に関する情報 …58人分
〇常勤教員の氏名、年齢等
〇非常勤講師の氏名、メールアドレス、電話番号等
〇新規採用教員の氏名、住所、生年月日、メールアドレス、電話番号、職歴等
※当該パソコンには、指紋認証によるセキュリティが設定されており、またハードディスクは暗号化されているため、保存データに第三者がアクセスできる可能性は極めて低いと考えられます。また、現時点において、個人情報の第三者への流出及び不正使用等は確認されておりません。
3.今後の対応と再発防止に向けた取組
(1)本校全教職員に対しあらためて研修等を実施し、法令を遵守した個人情報の適切な取扱いに万全を期してまいります。
(2)校内における防犯体制を見直し、安全確保に努めます。

引用元 広島大学

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置(第21条)従業者の監督 作業ルールの徹底(電子データ、情報機器の紛失防止)

チェックリストにある要求ルール:

電子データの重要情報を社外へ持ち出す時は許可を得ていますか。持ち出しの記録を取っていますか?
電子データの持ち出し時にはパスワード保護や暗号化し、さらに肌身離さないなど、盗難や紛失の対策をしていますか?
PCの画面などを第三者に見える形で使用していませんか?
USBメモリは自動暗号化されるセキュリティータイプをしようしていますか?
USBは首からかけるストラップのような大きな印をつけて目立たせるなど紛失や置き忘れ防止策を講じていますか?
パソコンや業務携帯などの紛失防止教育を徹底していますか。
重要情報やPC,USB等が入ったカバンを持ち歩く必要がある場合は、肌身離さず持ち歩ることを身につくまで、徹底教育していますか?
携帯電話、スマートフォンの紛失と盗難を防止する物理的な対策を講じていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

気づいたときには紛失していた、というのが紛失である。
防止策は、紛失しそうな場面を想定し予防策を全員に考えさせることが第一歩になる。
ああしろ、こうしろ、では記憶に残らない。紛失防止策は自分で自分にコミットすることが必須である。なくしそうなUSBは無くさないように頑張るのではなく、使わない、持ち出さないように自分の仕事の方法を変えることである。

具体例:

紛失事故がおきた場合は、組織の管理体制の不備という評価が下る。紛失防止に組織として何をすべきだったのか、これからなにをすべきかを全員で考えることである。考えなければ記憶に残らない。職場全体の紛失防止の意識の醸成教育を計って頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。