(平成26年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」について
平成26年度中に当協会(JIPDEC)及び審査機関(平成26年度末現在18機関)に報告があったプライバシーマーク付与事業者(以下、付与事業者)の個人情報の取扱いにおける事故についての概要を報告する。
平成26年度の事故報告内容は、事故の原因及び、盗難・紛失の媒体において、おおよそ前年度と同様の傾向にある。付与事業者各位においては、引き続き個人情報の取扱いに関する事故の再発防止に活用して頂きたい。
このページのPDF版
(平成26年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」 (225KB)
平成26年度の報告件数
- 768付与事業者より1,646件の事故報告があり、前年度の736付与事業者:1,627件より、事業者数、事故報告件数共に若干増加した。
- 平成26年度末時点の付与事業者数(下記1.の「参考:有効付与事業者数の推移」を参照)に占める事故報告事業者の割合は5.5%であり、前年度(5.4%)とほとんど差異はない。
報告内容の概要
- 事故の原因は、「紛失」(25.2%)が最も多く、次いで「メール誤送信」「宛名間違い等」「封入ミス」の順に割合が多く、前年度とほぼ同様の傾向にあるが、「封入ミス」「メール誤送信」の増加が目立つ。
- 盗難・紛失の媒体について、全体的には平成24~25年度と同様に書類、スマホを含む携帯電話の紛失が多く報告されている。スマホを含む携帯電話やノートPCは、平成25年度に一旦減少したが、平成26年度には件数・割合共に増加した。(125件:28.1%→153件:32.3%)一方、平成24~25年度に、過半数を占めていた書類の割合が若干減少し、半数を下回る割合(48.3%)であった。
1.事故報告(*)のあった付与事業者数と事故報告件数(平成22~26年度)
(*) 配送物の中に個人情報が含まれていても、配送委託先のミスが原因で事故(配送ミス・紛失等)が発生した場合は、欠格性(欠格レベル)の評価において不可抗力によるものとし、「措置なし」の評価を行っている。当該理由により、措置なしと評価した付与事業者数と事故報告件数は含めていない。
参考:有効付与事業者数の推移(平成22~26年度の各年度末時点)
2.付与事業者から報告のあった原因別事故報告件数と割合(平成24~26年度)
◆平成26年度においては、1件の事故報告に複数の原因が存在したことから、事故報告件数の合計と 原因別報告件数の合計は合致しない。
- ※1:「誤送付」の分類について
- 「宛名間違い等」は、誤送付の原因となる配送に関係する事務処理上のミス(宛名書き間違い、誤登録・誤入力等)及び渡し間違い等である。
- 「配達ミス」は、付与事業者自らが配達した際の間違い等である。
- ※2:「その他漏えい」の内容について
- 「その他漏えい」には、『プログラム/システム設計ミス』『不正アクセスによる漏えい』『口頭での漏えい』及びその他『ヒューマンエラーと考えられるもの』等が含まれる。
- ※3:「その他」の内容について
平成24~平成26年度の「その他」の内訳は以下の通り。
3.事故に対する主な注意事項等
IT関連事故に関して
- 『IT関連事故』は、コンピュータシステム、情報システム、ネットワークシステムにおける、あるいはIT機器操作における事故等を指すが、前年度より報告件数は減少したものの、内容の複雑化が見られる。
- IT関連事故の特徴として以下の様なケースが挙げられる。
(1)被害対象の規模が大きいケースがある。
(2)金銭的被害に結び付くケースがある。
(3)ニュースになるような話題性のあるケースがある。 等
<システムプログラム上の問題によるIT関連事故>
- システムプログラム上の問題による事故の原因は、「システム等の設計不備・設計ミス」「公開・表示設定ミス」「アクセス権設定ミス」「操作ミス」「検証不備・検証ミス」等であり、『システム導入時』『システム移行時』『専任担当に任せている』『委託先に全て任せている』等の状況において発生しているとの報告がある。
- 「設計不備・設計ミス」「操作ミス」「検証不備・検証ミス」等に対し具体的な防止策を講じると共に、
(1)手順やルールの見直し
(2)作業実施ルールの確認・見直し
(3)チェックルールの確認・見直し
(4)具体的な作業手順等の工夫
(5)従業員への注意喚起・教育
(6)委託先の管理
等、体制整備の視点からの事故防止策を検討することが重要である。
また、万が一、事故が発生した場合に備え、二次被害等防止策についても見直し、確実に実行できるような従業員教育も必要である。
<不正行為によるIT関連事故>
- 『不正行為』には外部からのものと、内部におけるものがあるが、平成26年度の従業員等による【内部不正行為】の報告は、平成24~25年度に比べ件数が増加し、重大事故に発展した事例もあり、事故の原因としては特に注意を要する内容である。
- 不正行為による事故は、「データの不正持出し・不正使用」「不正アクセス・不正ログイン」等があり、原因としては、①データの保管ミス ②アクセス制御ミス ③不正持出し防御ミス ④システムの脆弱性 ⑤なりすまし 等が報告されている。 また、『委託契約終了時』『雇用契約終了時』『個人情報の取扱権限の集中』『個人情報の放置』『委託先管理の問題』等の要因もあり、注意が必要である。
- 「データの不正持出し・不正使用」「不正アクセス・不正ログイン」への対策としては、
(1)個人情報抽出用端末の制限及び、アクセス範囲および権限者を最小限にすること
(2)権限を持つ者の不正行為の抑制のために、入退室記録、システムへのアクセスログ等の取得と、記録の確認を定期的に行うこと
(3)退職者のアカウントの削除等、対応を確実に行うこと
(4)システムの脆弱性等への対応を確実に行うこと
(5)サイトへの外部からのアクセス状況の監視を継続すること
(6)委託先における個人情報の取扱い状況の確認及び、再委託等の状況の把握等、適切な委託先の監督を行うこと
(7)社内においては、常時監視していることを従業員に意識させる等、内部不正行為に対するけん制の対応を検討すること
(8)内部での報告体制を明確にしておくこと
等が挙げられる。 - 合わせて、社会人としてのモラルや、仕事や役割に対する責任感、ルール違反を行った際に予想される結果等についても教育を行い、個人情報保護の意識を向上させることが考えられる。
- 『内部不正行為』防止については、独立行政法人情報処理推進機構(IPA)にて、「組織における内部不正防止ガイドライン」を公表しているので参考にして頂きたい。
組織における内部不正防止ガイドライン
盗難・紛失事故について
- 盗難事故(車上荒らし・置き引き等)の報告件数は、前年度に比べ件数・割合共に増加し(32件:2.0%→48件:2.9%)、特に置き引き等の件数・割合の増加が目立っている。
- 紛失事故の報告件数は、前年度に比べ件数・割合共に微増し、全報告件数に占める件数・割合は、平成24~25年度と同様、最も多い(416件、25.2%)。
- 盗難・紛失の媒体別内訳は下記の表の通りである。全体的には平成24~25年度と同様に書類、スマホを含む携帯電話の紛失が多く報告されている。スマホを含む携帯電話やノートPCは、平成25年度に一旦減少したが、平成26年度には件数・割合共に増加した。(125件:28.1%→153件:32.3%)、一方、書類は前年度に比べ件数・割合共に減少し、平成24~25年度に過半数を占めていた書類の割合が、半数を下回る状況であった。
- 外出時・移動中の紛失事故は、「置き忘れ」「落下」「転倒」「強風等の外的要因」等が原因となって発生し、『手荷物が多い時』『疲れている時』『飲酒・飲食時』『睡眠不足』『何か急いでいる時』等の状況において発生しているとの報告がある。置き忘れや落下防止等に対する具体的な紛失防止策や、手順やルールの見直し等の体制の整備のほか、紛失事故の発生し易い状況を回避する等を意識した従業員の行動がポイントとなることを認識した従業員教育も重要である。
- スマホやノートPC、タブレット端末の場合、大量の個人情報の保存が可能となり、事故等が発生した場合のリスクが一層大きくなっている。紛失・盗難の件数・割合は、前年度において減少がみられたものの、件数・割合共に増加した状況から、個人情報の漏えい対策として、リモートロックや遠隔消去等機能として対応できる対策のほか、機器を使用する従業員に対する教育が最重要課題であることの認識が必要と考える。
- 盗難事故には「移動時の乗物内での盗難」「飲食店やホテルロビー等での盗難」「路上・公園等屋外での盗難」「車上荒し」等があり、『持ち物から意識が薄れる時』『持ち物から遠ざかった時』『夜間の外出』『海外出張時』等の状況において発生しているとの報告がある。万が一、事故が発した場合に備え、媒体別の二次被害等防止策を講ずると共に、緊急時の対応ルールが確実に実行できることが重要である。
盗難・紛失の媒体別内訳(平成24~26年度)
- (注1)盗難・紛失のカッコ内は事故報告件数。
- (注2)盗難や紛失は、一つの事故で、複数媒体が関係することもあるので、合計と事故報告件数は合致しない。
- (※1)その他の媒体:名刺(名刺入れ)、社員証、入館証(IDカード)、検体等。
- (※2)バッグ類:個人情報の盗難・紛失の事故であるが、収納されていた媒体が不明のもの。
封入ミス、ファックス誤送信、宛名間違い等
【封入ミス】【ファックス誤送信】【宛名間違い等】の事故に関する主な注意事項等については、(平成25年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」の資料を参考にして頂きたい。
(平成25年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」 (215KB)
≪最近の個人情報の取扱いにおける事故について≫
<標的型攻撃に関する情報提供>
昨今、多くの企業、団体が標的になっている標的型攻撃とは、特定の組織内の情報(機密情報や知的財産、ユーザーアカウント情報など)を狙って行われるサイバー攻撃の一種であり、その組織の従業者宛にコンピュータウイルスが添付されたメールを送ること等によって開始される。
※標的型攻撃の防御対策等については
- セキュリティ・システムで入口対策(攻撃の侵入を防ぐ対策)に加え、出口対策(侵入後に被害の発生を防ぐ対策)を充実させる
- 従業者の心構えとセキュリティ・システムの出口対策がポイントであり、組織全体のセキュリティレベルを向上させる
<参考1>
平成17年度~平成24年度の「個人情報の取扱いにおける事故報告にみる傾向と注意点」については、下記を参照してください。
平成17年度~平成24年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
この件に関するお問合せ先
プライバシーマーク推進センター
電話:03-5860-7563
公開日
2015年8月25日