個人情報保護委員会が「尼崎市USB個人情報紛失事故に関連した企業の改善策実施状況について」を公表しました。
当たり前のことをしていなかったので、以後、「個人データの適正な取扱いを周知徹底するとともに適切な教育を行うこと」を徹底します、という内容です。現場レベルでの対応は記載されていませんが、「徹底します」では不足で「徹底し続けるために何をどのようにするか」が問われます。ご留意ください。

―――――――――――――――――――

尼崎市USBメモリ紛失事案に対する個人情報の保護に関する法律に基づく行政上の対応について（尼崎市USB個人情報紛失事故に関連した有限会社リンクドゥにおける改善策の実施状況について）

令和５年２月22日
個人情報保護委員会

事実関係

１．個人データの取扱いに係る規律有限会社リンクドゥ（以下「リンクドゥ社」という。）は、自社において個人情報取扱規程及び情報セキュリティ管理規程を策定し、自社における個人データの取扱方法や、情報資産の自社からの持ち出しルールを一定程度整備していた。さらに、尼崎市の住民税非課税世帯等に対する臨時特別給付金支給事務（以下「本件業務」という。）に係る業務委託契約書において、リンクドゥ社の個人データの取扱いは、尼崎市情報セキュリティ対策基準等の委託元における規律を遵守するよう規定されていることから、リンクドゥ社は、本件業務において自社の従業者に個人データを取り扱わせるに際し、自社固有の規律に加え、委託元における規律を遵守するよう適切な人的安全管理措置を講じなければならなかった。

２．安全管理措置に関する問題点等リンクドゥ社では、人的安全管理措置として、各従業者の入社時に、誓約書にて、自社の情報セキュリティに関する事項を遵守する旨誓約をさせた上で注意喚起を行っていた。また、適切に個人データを取り扱わせるための教育研修については、同社の主要な事業が他社から受託するソフトウェア開発業務であることから、入社後に委託元のセキュリティ研修を受講させることとしていた。しかし、管理者が各従業者に対して、半年に一度、人事管理のための面談を行っていたものの、委託元での当該従業者による個人データの取扱状況を聞き取ることはなく、また、委託元のセキュリティ研修を受講しているか否かについて、適切に把握する機会を設けていなかった。

改善策の実施状況等

１．本件発生後に自律的に講じた再発防止策
(1)半年に一度の面談時に、委託元での個人データの取扱状況及び委託元でのセキュリティ研修の実施状況について聞き取りを行うこととした。
(2)年に一度、全ての従業者に対して、情報セキュリティ研修を実施することとした。

２．指導事項_人的安全管理措置に関し、

(１)既に策定した再発防止策を確実に実施すること。

(２)１に加え、左記の事実関係を踏まえ、個人情報の保護に関する法律第23条及び「個人情報の保護に関する法律についてのガイドライン（通則編）」に基づき、従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行うこと。

以上