事故から学ぶ

TOP > 事故から学ぶ > 自らコミットする習慣 > 高校で指導要録を紛失、誤廃棄の可能性 – 三重県

2022/04/28

高校で指導要録を紛失、誤廃棄の可能性 – 三重県

事故概要

業種	行政の職員
発生時期	2022/3/29
漏えい人数	82
事故概要	三重県の県立高校において、転学者と退学者の指導要録が所在不明になっていることがわかった。同県によれば、県立高校において2001年度から2008年度の転学者と退学者の指導要録のうち、82人分の学籍を記録した部分が所在不明になっているもの。 3月29日に元在学者より依頼された書類を作成しようとしたところ、原簿となる指導要録が保管場所に見当たらないことが判明した。生徒の氏名、性別、生年月日、出身中学校、入学年月日、各教科の修得単位数、卒業年月日、卒業後の進路、学校名、校長名、担任名、保護者の氏名などが記載されている。指導要録は学籍部分と指導部分で構成されており、指導部分の保管期限は5年ですでに経過して廃棄されているが、今回紛失が判明した学籍部分は20年間の保存が義務付けられている。指導要録は事務室内の金庫に保管しており、外部に持ち出されたことはないという。同県では、整理した際に誤って廃棄した可能性が高いとし、対象者に対して電話や書面により経緯を説明するとともに謝罪。指導要録については、データから復元し、対象者に不利益がないよう対応するとしている。
引用元	Security NEXT　他

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

‘（第20条）安全管理措置　作業ルールの徹底（電子機器を含む保管管理と情報漏えい防止、事務所内での紛失防止）

チェックリストにある要求ルール：

情報漏えい、盗難防止などの教育を定期的に実施していますか？
社内の整理整頓は徹底されていますか？
個人情報が記載されたを書類を、机の上に放置せず、書庫に保管し施錠するなど、漏えいを防止していますか？
事業所外で個人情報が記載された書類やPCなどを置いたまま、離籍していませんか？
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか？また保管庫の施錠は2名以上で確認をしていますか？
許可を得ていないUSBなどの簡易型データ保存装置の、PCへの接続制限はかけていますか。
データが保存されているPCやファイルサーバから、USBなどにデータコピーが行われた場合、管理者に警告が出たり、ログが残るようにしていますか？
書類や書類の写しを勝手に持ち出せないように、教育の徹底と抜き打ち検査、書類保管場所の点検を不定期に実施していますか？
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか？
不正に持ち出した場合の罰則規定を設けていますか？

■ 推奨対策

対策：

個人情報保護法にある安全管理措置の重要管理ポイント違反で内部紛失は発生する。
ルールどおりのことがされたが見落としたというのであれば、慣れによる注意散漫と考えるべきで、それに応じた対策が必要となる。
PCや書類などの保管方法と当該書類を使用するときに発生するリスクが検知できないのは、危機意識がない証明でもある。毎回の施錠管理未実施も問題である。
持ち出しと返却の数量確認を行うのが常識であり、実施していないのであれば手抜きであり、職員も管理職もペナルティを負うべきである。

具体例：

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
書類は確実に戻した、PCは戻して管理表にチェックを入れた、というように管理ポイント毎に自分にコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。