(平成24年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」について
平成24年度中に当協会(JIPDEC)および指定審査機関(平成24年度末現在18機関)に報告があったプライバシーマーク付与事業者(以下、付与事業者)の個人情報の取扱いにおける事故についての概要を報告する。
また、平成24年度の事故報告内容から、事故に対する主な注意事項をまとめたので、前年度までの報告内容と合わせて、個人情報の取扱いに関する事故の再発防止に活用して頂きたい。
このページのPDF版
(平成24年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」 (193KB)
平成24年度の報告件数
- 620付与事業者1,447件の事故報告があり、前年度の682付与事業者1,434件より事業者数は減少しているものの、事故報告件数は微増となっている。
- 平成24年度末時点の付与事業者数(参考資料:有効付与事業者数の推移を参照)に占める事故報告の割合は4.7%であり、前年度(5.4%)より減少している。
報告内容の概要
- 事故の原因は、「紛失」(26.2%)が最も多く、次いで「封入ミス」、「メール誤送信」、「宛名間違い等」の順に割合が多く、ほぼ前年度と同じ傾向にある。中でも、「封入ミス」の増加が目立つ。
- 盗難・紛失の媒体は、前年度に比べ書類が件数・割合共に増加し(206件:47.4%→224件:51.3%)、ノートPCは件数・割合共に減少している。(41件:9.4%→25件:5.7%)
1.事故報告(*)のあった付与事業者数と事故報告件数(平成20~24年度)
(*) 配送物の中に個人情報が含まれていても、配送委託先のミスが原因で事故(配送ミス・紛失等)が発生した場合は、欠格性(欠格レベル)の評価において不可抗力によるものとし、「措置なし」の評価を行っている。当該理由により、措置なしと評価した付与事業者数と事故報告件数は含めていない。
参考資料:有効付与事業者数の推移(平成10~23年度の各年度末時点)
2.付与事業者から報告のあった原因別事故報告件数と割合(平成23~24年度)
- ※1:「誤送付」の分類について
- 「宛名間違い等」は、誤送付の原因となる、配送に関係する事務処理上のミス(宛名書き間違い、誤登録・誤入力等)および、渡し間違い等である。
- 「配達ミス」は、付与事業者自らが配達した際の間違い等である。
- ※2:「その他漏えい」の内容について
- 「その他漏えい」には、『プログラム/システム設計ミス』、『不正アクセスによる漏えい』、『口頭での漏えい』およびその他『ヒューマンエラーと考えられるもの』等が含まれる。
- ※3:「その他」の内容について
- 「その他」の内訳は以下の通り。
- 「その他」の内訳は以下の通り。
3.事故に対する主な注意事項等
封入ミスに関して
- 前年度(平成23年度)に比べ、封入ミスの事故報告件数が173件(12.1%)から254件(17.6%)と目立って増加している。
- 封入ミスには、大別して「機械作業における事故」と、「手作業による事故」があり、「機械作業における事故」の場合、機械の誤動作(トラブル)を発見(検出)できなかった場合、大量の誤封入となるケースがある。また、「手作業による事故」では、『相互入れ違い』のほか、他者宛ての送付物を誤封入するケースや送付対象ではない書類等を誤封入するケース等の『送付物間違い』がある。
- 再発防止策としては(1)作業手順やルールの見直し、(2)具体的な作業手順の工夫、(3)作業環境の整備、(4)(従業員への)注意喚起・教育、(5)委託先の管理 等が有効であるが、最終的には担当者自らが【ヒューマンエラーにより発生するもの】との認識を常に持ちながら、業務に臨むことが求められる。また、作業においての注意点・確認点をリストアップすることも事故防止につながるものと考える。
- 機械トラブルに関しては、事前の点検動作確認、作業時のサンプリング検査の徹底が重要である。
ファックス誤送信に関して
- ファックス誤送信の事故報告件数は、前年度に比べ件数・割合ともに減少(129件:9.0%⇒108件:7.4%)している。誤送信の原因として多いのは、「ファックス番号間違い」であるが、最近はファックス機能のほか、コピー、プリンタおよびスキャナ機能を備えた複合機での事故の報告もある。
- 複合機によるファックス誤送信では、「スキャンを行うつもりが、操作ミスにより誤ってファックスを送信した」、「PDF化の際に複合機から自身のPCへの送信処理を誤り、ファックスが誤送信された」、「書類を複合機でコピーする際に、作業モードの確認を怠ったために、前使用者のモードにより誤ファックスされた」等がある。
- 使い慣れないファックス機や、複数機能を備えた複合機を利用する場合には、事前に操作手順を確認する必要がある。また、操作時にどの様なミスが起きやすいのか、どの様な事故が発生する可能性が想定されるのかということについてリストアップし、注意喚起を行ったり、複合機の近くに掲示することも事故防止策として有効と考える。
盗難・紛失事故について
- 盗難・紛失事故の報告件数は前年度とほぼ同数であり、盗難・紛失の媒体別内訳は下記の表の通りである。前年度と同様に書類、携帯電話の紛失が多く報告され、特に前年度に比べ、書類が件数・割合共に増加している。(206件:47.4%→224件:51.3%)
- 携帯電話については、スマートフォンを含む件数となっているが、スマートフォンの場合、従来の携帯電話に比べ、パソコンに近い機能を持った情報端末であることから、大量の個人情報の保存が可能となり、事故等が発生した場合のリスクが一層大きくなっている。
- また、最近は、従業員が個人で所有するスマートフォンやタブレット端末、携帯電話などを業務で利用する「BYOD(Bring Your Own Device)」が注目されている。事業者側、従業員側それぞれに「業務効率の向上」等のメリットはあるが、一方で、大きな課題となるのがセキュリティ面の問題であり、持ち歩いての利用が前提となるため盗難・紛失による情報漏えいのリスクのほか、保存された情報の搾取を目的としたウイルスもリスクとなっている。
- 紛失・盗難による個人情報の漏えい対策として、リモートロックや遠隔消去等機能として対応できる対策のほか、機器を使用する従業員に対する教育が最重要課題であることの認識が必要と考える。
盗難・紛失の媒体別内訳(平成23~24年度)
- (注1)盗難・紛失のカッコ内は事故報告件数。
- (注2)盗難や紛失は、一つの事故で、複数媒体が関係することもあるので、合計と事故報告件数は合致しない。
- (※1)その他の媒体:名刺(名刺入れ)、社員証、入館証等。
- (※2)バッグ類:個人情報の盗難・紛失の事故であるが、収納されていた媒体が不明のもの。
内部不正行為について
- 「その他」の項目の中で、前年度より増加している内容に『内部不正行為』がある。コールセンター部門やクレジットカード発行職場の従業員が「クレジットカード情報」を不正に持ち出したとの報告や、退職時に個人情報を不正に持ち出した等の報告が目立つ。
- 内部不正行為への対策としては、
- 業務内容や責任範囲に即したアクセス権の見直しを行い、アクセス範囲および権限者を最小限にすること
- 権限を持つ者の不正行為の抑制のために、入退室記録、システムへのアクセスログ等の取得と、記録の確認を定期的に行うこと
- 内部での報告体制を明確にしておくこと
※Webサイトへの不正アクセスついて
Webサイトへの不正アクセスは、従来、コンピュータのOSやアプリケーション等に存在するぜい弱性(セキュリティホール等)を利用して、コンピュータのアクセス制御機能を迂回してコンピュータ内に侵入する行為が多く報告されているが、本年3月以降、複数のインターネットサイトにて、【なりすまし】による不正アクセス(不正ログイン)が相次いで発生している。別のWebサイトから流出したIDやパスワードの情報が利用(転用)された疑いが強く、複数のサイトで同じパスワードを使い回している利用者(ユーザ)が狙われた可能性が高いと言われている。プライバシーマーク付与事業者においても、Webサイトへの【なりすまし】による不正アクセス(不正ログイン)の事故が発生したとして、事故報告書が複数提出されている。
プライバシーマーク付与事業者においては、自社の情報システムの外部との接点となる、Webサイトのぜい弱性の悪用を防止することが必要であるが、個人向けの登録サイトを運営しているプライバシーマーク付与事業者においては、利用者(ユーザ)に対し、【ID/パスワードの使い回しは避けた方が安全】との不正ログインに対する注意喚起を行う等、利用者(ユーザ)の被害防止に努めることも必要と考える。
<参考1>
平成17年度~平成23年度の「個人情報の取扱いにおける事故報告にみる傾向と注意点」については、下記を参照してください。
<参考2>
プライバシーマーク付与事業者の皆さまへ
プライバシーマーク付与事業者専用サイトにある
「個人情報の取扱いに関する事故を発生させないために」(連載中)を参考にしてください。
この件に関するお問合せ先
プライバシーマーク推進センター
電話:03-5860-7563
公開日
2013年7月12日