事故から学ぶ

【中国電力】1万3772人分クレカ契約情報紛失 事務所内で誤って廃棄か

事故概要

業種 民間企業
発生時期 2022/4/18
漏えい人数 13772
事故概要

中国電力(広島市中区)は18日、顧客1万3772人のクレジットカード契約に関する情報を記した資料を紛失したと発表した。カード番号や住所、電話番号は記載されていない。事務所内で誤って廃棄した可能性が高いといい、社外漏えいや被害の発生は確認されていない。

資料には、解約など電気料金の支払いに使うカード契約に変更があった顧客の氏名と電気の契約番号、カード会社・ブランド名などを記載。紛失したのは2021年4〜5月の中国5県のデータで、岡山約5千人分、広島約3500人分が含まれる。

広島カスタマーセンター(同)の一室で保管されており、事前登録した社員らしか入室できなかった。監視カメラを確認した結果、外に持ち出された形跡はなく、室内で別の資料と一緒に廃棄されたとみられる。

引用元 山陽新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

‘(第20条)安全管理措置 作業ルールの徹底(電子機器を含む保管管理と情報漏えい防止、事務所内での紛失防止)

チェックリストにある要求ルール:

情報漏えい、盗難防止などの教育を定期的に実施していますか?
社内の整理整頓は徹底されていますか?
個人情報が記載されたを書類を、机の上に放置せず、書庫に保管し施錠するなど、漏えいを防止していますか?
事業所外で個人情報が記載された書類やPCなどを置いたまま、離籍していませんか?
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?また保管庫の施錠は2名以上で確認をしていますか?
許可を得ていないUSBなどの簡易型データ保存装置の、PCへの接続制限はかけていますか。
データが保存されているPCやファイルサーバから、USBなどにデータコピーが行われた場合、管理者に警告が出たり、ログが残るようにしていますか?
書類や書類の写しを勝手に持ち出せないように、教育の徹底と抜き打ち検査、書類保管場所の点検を不定期に実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
不正に持ち出した場合の罰則規定を設けていますか?

■ 推奨対策

対策:

個人情報保護法にある安全管理措置の重要管理ポイント違反で内部紛失は発生する。
ルールどおりのことがされたが見落としたというのであれば、慣れによる注意散漫と考えるべきで、それに応じた対策が必要となる。
PCや書類などの保管方法と当該書類を使用するときに発生するリスクが検知できないのは、危機意識がない証明でもある。毎回の施錠管理未実施も問題である。
持ち出しと返却の数量確認を行うのが常識であり、実施していないのであれば手抜きであり、職員も管理職もペナルティを負うべきである。

具体例:

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
書類は確実に戻した、PCは戻して管理表にチェックを入れた、というように管理ポイント毎に自分にコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。