事故から学ぶ

「人にやさしい街づくり地域セミナーin北名古屋」における個人情報の漏えいについて 愛知県

事故概要

業種 行政の職員
発生時期 2022/2/11
漏えい人数 28
事故概要

人にやさしい街づくり地域セミナーin北名古屋」における個人情報の漏えいについて
2022年2月11日(金・祝)、「人にやさしい街づくり地域セミナーin北名古屋(2月13日(日曜)開催)」の参加申込者(28人分)の、氏名やメールアドレス等を含む個人情報が漏えいしたことが判明しました。
1 漏えいした個人情報
「人にやさしい街づくり地域セミナーin北名古屋」の参加申込者28人に関する情報
(氏名、年代、住所(町名まで)、メールアドレス、参加動機)
2 原因
「人にやさしい街づくり地域セミナーin北名古屋」の委託先である、一般社団法人ママライフデザイン研究所(北名古屋市)が、自社のウェブページ上で、個人情報が閲覧可能となる誤った申込入力フォームを公開してしまったため。
3 判明の経緯
参加申込者からのメールで、申込入力フォームから個人情報が閲覧できるようになっていることの通報があった。
4 対応
申込入力フォームから個人情報が閲覧できるという通報を受け、一般社団法人ママライフデザイン研究所の担当者がウェブページを確認したところ、個人情報が確認できる状況であったため、直ちにウェブページを修正し、個人情報が閲覧できないようにした。
また、参加申込者全員にメールで本事案の経緯を説明した上で謝罪を行っている。
5 再発防止策
今回と同様の事案が発生しないように、個人情報の適切な管理及び取扱いについて委託先を指導し、チェック体制を充実させます。また、県においても、業務期間内に委託先の管理及び個人情報の取扱状況を確認することにより、多重のチェック体制を充実させ、再発防止を徹底します。

引用元 愛知県

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 作業ルールの徹底(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。