事故から学ぶ

イズミヤ 客の個人情報記載伝票2400件分を紛失 河内長野

事故概要

業種 民間企業
発生時期 2022/5/6
漏えい人数 2400
事故概要

大阪・河内長野市にある「イズミヤショッピングセンター河内長野店」で、客の氏名や電話番号などが記載された伝票、およそ2400件分を紛失したことを運営会社が明らかにしました。
現時点では外部への情報の流出などは確認されていないということです。
イズミヤショッピングセンターの運営会社、「エイチ・ツー・オー商業開発」によりますと、大阪・河内長野市にある「イズミヤショッピングセンター河内長野店」で、客が衣料品の裾上げなどの際に作る伝票、およそ2400件分を紛失したということです。
対象の伝票は、2018年7月からおととし1月までの期間で、客の氏名や電話番号などが記載されていたほか、最大240件についてはクレジットカードの番号も載っていたということです。
運営会社によりますと、個人情報が記載された書類は鍵がかかる場所で7年間保管したあと、溶解処分をすることになっていますが、おととし5月に店舗を改装した際、誤って溶解処分した可能性が高いとしています。
現時点では、外部への情報流出などは確認されていないとしていますが、会社では今回の事態を受けて、すべてのショッピングセンターで伝票の保管方法を再点検するとしています。
運営会社では「事態を厳粛に受け止め、再発防止に努め、従業員指導を徹底してまいります」とコメントしています。

引用元 NHK

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 作業ルールの徹底(電子機器を含む保管管理と情報漏えい防止、事務所内での紛失防止)

チェックリストにある要求ルール:

情報漏えい、盗難防止などの教育を定期的に実施していますか?
社内の整理整頓は徹底されていますか?
個人情報が記載されたを書類を、机の上に放置せず、書庫に保管し施錠するなど、漏えいを防止していますか?
事業所外で個人情報が記載された書類やPCなどを置いたまま、離籍していませんか?
個人情報を所定の保管庫から出し入れする際は、管理記録を個人名付きで記録していますか?また保管庫の施錠は2名以上で確認をしていますか?
許可を得ていないUSBなどの簡易型データ保存装置の、PCへの接続制限はかけていますか。
データが保存されているPCやファイルサーバから、USBなどにデータコピーが行われた場合、管理者に警告が出たり、ログが残るようにしていますか?
書類や書類の写しを勝手に持ち出せないように、教育の徹底と抜き打ち検査、書類保管場所の点検を不定期に実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?
不正に持ち出した場合の罰則規定を設けていますか?

■ 推奨対策

対策:

個人情報保護法にある安全管理措置の重要管理ポイント違反で内部紛失は発生する。
ルールどおりのことがされたが見落としたというのであれば、慣れによる注意散漫と考えるべきで、それに応じた対策が必要となる。
PCや書類などの保管方法と当該書類を使用するときに発生するリスクが検知できないのは、危機意識がない証明でもある。毎回の施錠管理未実施も問題である。
持ち出しと返却の数量確認を行うのが常識であり、実施していないのであれば手抜きであり、職員も管理職もペナルティを負うべきである。

具体例:

多忙が理由で確認不足になるのはありがちないい訳である。しかし、それで個人情報を漏えいされたら困るので、重要管理ポイントという場面を作り、セルフチェックをさせるのが良い。ここでいうセルフチェックとは自らの仕事に自らコミットすることである。
書類は確実に戻した、PCは戻して管理表にチェックを入れた、というように管理ポイント毎に自分にコミットすることである。
各自がセルフコミットをすることが、組織全体として管理不全の解消になる。
セルフコミットには多忙だからスキップしたという言い訳ができない。あなた自身の仕事がいい加減である、という宣言につながるからである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。