事故から学ぶ

個人情報の漏えいについて 東京都

事故概要

業種 行政の職員
発生時期 2022/6/15
漏えい人数 16
事故概要

『夢のみち2022「親子体験ツアー」』((公財)東京都道路整備保全公社(以下「公社」という。)主催、建設局共催)において、個人情報が漏えいする事故が発生しましたので、お知らせします。
関係者の皆様には、多大なご迷惑をおかけし、深くお詫び申し上げます。今後、このようなことがないよう、情報の適正な管理と再発防止を徹底してまいります。
1 概要
令和4年6月15日から公社ホームページにおいて募集している『夢のみち2022「親子体験ツアー」』において、ツアー参加希望者が応募した際、応募者の個人情報が過去に当該ツアーの運営を受託した会社(以下「当該会社」という。)に漏えいした。本事故は、今回の応募フォームを作成した際に、過去の受託者である当該会社へのメール送信先を削除しなかったため、応募者の入力情報が誤ってメール送信されたものである。
(1)発生日
令和4年6月15日(水曜日)
(2)漏えいした個人情報
『夢のみち2022「親子体験ツアー」』応募者8組分の氏名、年齢、住所、電話番号及びメールアドレス
2 経緯
6月8日(水曜日)
「親子体験ツアー」のホームページ(応募フォーム含む)を制作
6月15日(水曜日)
公社ホームページにて「親子体験ツアー」の募集を開始
6月16日(木曜日)
当該会社から、「親子体験ツアー」応募者の情報がメールで送信されていると公社に連絡があり、個人情報の漏えいが判明した。応募フォームの当該会社へのメール送信設定を削除し、応募者8組に対し、経緯を説明し謝罪した。また、当該会社において、受信したメールが削除されたことを確認した。
3 今後の対応
公社においては、「個人情報漏えい事故等対策本部」を設置し、再発防止に取り組むとともに、職員に対しても本件周知と情報管理の徹底を指示した。
建設局においては、本日、「建設局個人情報漏えい事故等対策本部」を設置し、本件周知と再発防止に取り組む。

引用元 東京都

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第21条)従業者の監督 作業ルールの徹底(ホームページ・メール本文誤開示防止)

チェックリストにある要求ルール:

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか?
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか?
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか?
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか?
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

コンピュータは繰り返し処理に使うもので、新しいこと、違うことをやらせるときには簡便に見えても、徹底したテストが必要である。
テストにはある程度確立したルールもあり、テストをやらない、あるいはテストを省く条件も決められている。データを取り込んで出力する、という一見なんでもない処理であっても、テスト未実施という手抜きをすればこのような事態を引き起こす。テストを省くことを許容する組織の問題である。

具体例:

テストは地味で、単調な作業です。しかし製作者、開発者のプロとしての宿命です。事業の機会損失を防ぐ大切な作業です。
最低限行うべきテスト項目を挙げてみました。
コンテンツ確認
・作成したページに誤字脱字がないか
・内容が間違っていないか
・個人情報や機密情報が表示されていないか
・画像は崩れなく正しい物が表示されているか
リンク
・リンク切れしていないか
・リンク先が正しい目的のページか
・リンク先に個人情報や機密情報が表示されていないか
・ファイルを開いたりダウンロードできるものは、不都合な情報がないかファイルの中まで確認したか
・EXCELファイルが開ける場合、目的外シートが含まれていないか確認したか?
デバイス
PC(Windows、Mac)、タブレット(Android、iOS)、スマートフォン(Android、iOS)でPCと同じ情報が表示されることを確認したか?
フォームの確認
・フォームを使用する場合、フォームに入力した内容が正しく送受信されるか確認したか?
・フォームは毎回リフレッシュがかかり、前の入力情報が表示されることはないか?
・日本語以外の言語や記号、数字といった想定外の入力をした場合の動作確認をしたか?・入力完了前にブラウザを閉じたらどうなるか確認したか?

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。