事故から学ぶ

個人情報保護委が個人情報漏えい 12人の氏名や一部所属先

事故概要

業種 行政の職員
発生時期 2022/1/7
漏えい人数 12
事故概要

個人情報保護委員会事務局における意見募集手続の結果をウェブ上で公表する過程において、個人情報の漏えいが発生いたしました。関係者の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。
1 概要
令和4年1月7日(金)13 時に意見募集手続の結果をウェブ上で公表したところ、誤った PDF ファイルが 13 時 40 分までの間、掲載されたことにより、意見提出者 12 名の氏名及び一部所属先が公表されておりました(現在は氏名及び一部所属先が記載されていない正しいファイルに差し替えの上、掲載済みです。)。
2 漏えいの原因
公表資料においては削除すべき内容について、公表資料ファイルの作成の際に誤ってその内容に含めるとともに、確認漏れがあったためそのままウェブ上で公表しておりました。
3 対応状況
上記 12 名のうち、11 名については連絡先を特定することができたため、7名については7日(金)中に、事実関係を電話等により説明しお詫び申し上げました。7日中に連絡が取れなかった残る4名については、18 日(火)までに、事実関係を電話等により説明しお詫び申し上げました。

4 再発防止のための対応
当事務局では、今回の事態を重く受け止め、今後このような事態が発生しないよう、意見募集手続に係るご意見に対するご回答をウェブ上に掲載する場合を含め、ウェブ上に資料を掲載する際には、公表の対象となるファイルを作業ファイルとは区別した上で作業を行うこととします。
その上で、公表ファイルそのものについて事前に複数人での確認を改めて徹底するなど、より厳格かつ適正な個人情報の取扱いに努めてまいります。

引用元 個人情報保護委員会

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 作業ルールの徹底(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。