PCや名簿の盗難や紛失に注意する

(1/1)
個人情報漏洩というと、WinnyスパイウェアDoS攻撃SQLインジェクションによってインターネット越しにデータを盗まれることにスポットが当たりがちですが、最も多い原因は資料の誤交付や誤送付、誤廃棄といった人為的ミスです。
具体的な事例は「紛失・盗難による個人情報漏洩事件一覧」をご覧ください。

目次

報告件数の推移

個人情報保護委員会の年次報告によると、2024年度に企業や行政機関が個人情報保護委員会に報告した個人情報漏洩件数は21,007件で、前年度から58%増え過去最多でした。
マイナンバー法に基づいて報告されたマイナンバーの漏洩事案は2,052件と急増していますが、これには、社会保険/人事労務業務支援システムを運営する株式会社エムケイシステムのサーバがランサムウェア被害により、同社のシステム上で管理されていた個人データが暗号化され、漏洩の畏れが発生した事案の法衣国1,726件が含まされています。

個人情報保護委員会では、「2024年度の件数に関しては、2022年度の情報漏洩時の報告義務化の周知が広まったことも要因の一つだろう。発生原因や再発防止に関する助言をするので、万が一の際には速やかに報告してほしい。通販サイトを含め、個人情報を扱うサイトでは不正アクセスの対策はしっかりすることが重要だ」と呼びかけています。

個人情報漏洩の原因別集計

漏洩原因をみると、「誤交付」「誤送付」で全体の約6割以上を占めます。

漏洩した情報の形態

漏洩した情報の携帯をみると、紙によって流出するケースが最も多いことが分かります。一度に大量に個人情報をプリントアウトさせないという対策も必要でしょう。

PCの置き忘れや盗難に注意

ノートPCをカバンに入れて持ち歩いているビジネスマンも多いと思いますが、このカバンを置き忘れたり盗まれたり置き忘れるケースが多くあります。
最近だけでも、以下のような事件がありました。
年 月 事 故 当事者
2005年8月個人情報含むパソコンの盗難被害発生持田製薬
2005年8月営業車盗難で医師の個人情報が入ったPC紛失参天製薬
2005年8月パソコン盗難で医師ら5,757人の個人情報流出キリンビール
2005年8月生徒1,000人分の個人情報、教員の車から盗難県立静岡高
2005年6月300,000件の個人情報紛失、PCごと盗難大阪市
2005年5月顧客情報入りハードディスクを紛失UBS証券
2005年5月80人分の個人情報流出 社員がかばんを紛失武富士
2006年5月オンラインゲームの個人情報65,000人分紛失アエリア
2006年6月供述調書入りのメモリー紛失愛知県警
2006年10月960,000人分の顧客情報紛失三菱東京UFJ銀
2006年12月ディレクターが個人情報記録のハードディスク紛失NHK
2007年2月解約客22万人の個人情報紛失KDDI
2007年3月「NHKのど自慢」の出場者1,269人分の個人情報を紛失NHK
2007年3月品川駅で個人情報12,218件を含む内部書類を紛失JR東日本
これ以外にも、自宅に泥棒が入って、個人情報が入った業務用PCが盗まれたというケースもあります。

キーマンズネットのアンケート(2012年2月)によると、会社のノートPCの持ち帰りについては「許可されている」派が55%、「許可されていない」派が45%という結果でした。ただし、持ち帰りは許可されているものの「必ず何らかの申請が必要」というケースがほとんどのようです。
「申請制ですが、情報漏洩事故のペナルティが怖くて申請すら考えた事がありません」という意見もありました。

漏洩人数とインシデント件数の推移

2014年度はベネッセHDの漏洩事故があり、漏洩人数が突出しています。
漏洩人数とインシデント件数の推移
パソコンの紛失によるケースは減ったとはいえ、ゼロではありません。駐車場に車を置いた一瞬の隙に車上荒らしにあったという事件もあります。
日頃、電車の網棚にノートPC入りのカバンを置いたり、名簿が入ったカバンを抱えたまま飲み会に参加するというようなことはありませんか。PCや名簿は、肌身離さず持ち歩く癖を付けましょう。

また、2016年度は、漏洩数数ワースト10件のうち、インターネット経由が8件を占めました。これまで目立っていた、機器の誤操作や内部関係者による不正など人的要因は減り、ネットを通じた攻撃が大きな脅威になっています。

もっと情報公開を

紛失・盗難による個人情報漏洩事件一覧」と「ファイル交換ソフト(P2P)による個人情報漏洩事件一覧」を比べていただくと分かるのですが、紛失・盗難の場合は自社ホームページなどで情報公開したり対応窓口を設けることはほとんどありません。警察に紛失届や盗難届を出してお終い、ということも少なくありません。

紛失・盗難の場合には、自社/本人の過失の意識が少ないためと思われますが、個人情報保護法では、いずれの場合も管理責任を問われます。
きちんと事後対応をしていただきたいものです。

遠隔データ消去サービス

ノートPCでも、携帯電話のように遠隔操作でデータを消去する仕組みが用意されつつあります。

2011年(平成23年)4月、パナソニック システムソリューションズ ジャパンは、パナソニック製ノートPC 「Let's note」シリーズのハードディスク遠隔消去サービスを開始しました。

2011年(平成23年)5月、富士通BSCは従来型PCでも、遠隔操作で盗難・紛失に遭ったPCのデータを消去(リモートワイプ)できる新メニューを発表しました。7月4日から無償トライアルサービスとして提供を開始する予定です。

プライバシーマーク取得事業者による事故

プライバシーマーク(Pマーク)を運営する日本情報経済社会推進協会(JIPDEC)は、「個人情報の取扱いにおける事故報告集計結果」(2018年度)を発表した。これによると、912の付与事業者より2,323件の事故報告があった。冒頭の JNSA の報告は443件であるから、2倍以上の開きがある。どうしたことか。

JNSAの集計は、新聞やインターネットニュースなどで報道された情報を集計したもので、全数ではない。
一方、JIPDECの集計によると、プライバシーマーク取得企業の5.6%が個人情報漏洩事故を起こしていることになる。
2018年(平成30年)現在、わが国の起業数は385万。これに公共団体などを加えて400万組織とすると、その5.6%で、22万件以上の企業・団体が個人情報漏洩を起こしている可能性があるということになる。おそろしい数字である。

参考サイト

参考書籍

表紙 個人情報管理ハンドブック 第5版
著者 TMI総合法律事務所/柴野 相雄/白石 和泰/村上 諭志/古井 恵理
出版社 商事法務
サイズ 単行本
発売日 2023年03月01日頃
価格 8,800円(税込)
ISBN 9784785730109
各法規の改正の要点、実務への影響について網羅的に解説した書籍の最新版 個人情報管理に関する法令・政省令・ガイドラインは順守が必須であり、ガバナンス体制の構築・運用に直接影響を与えるものであるが、これらの法規は複雑に絡み合っており、変化も激しくなっている。本書は、これら法規則の趣旨や関係性、改正における要点等を、最前線に立つ実務家が解説する。
 
表紙 すっきりまとめて解説 個人情報保護法Q&A 令和2年・令和3年改正
著者 牧野 二郎/森 悟史/牧野 剛
出版社 日本法令
サイズ 単行本
発売日 2022年04月25日頃
価格 2,640円(税込)
ISBN 9784539729090
個人情報保護法は、令和2年に本人の権利の強化などに重点を置いた単独の改正がなされ、さらに令和3年にデジタル社会の形成を図るための関係法令の「整備法」の中で、民間と行政機関、独立行政法人に分かれていた法制度を個人情報保護法に一本化する等の改正がなされています。 企業としては、個人情報の定義づけや情報漏えい時の対策、「仮名加工情報」の新設など、主として令和2年改正への対応が求められますが、令和3年改正では条文番号が変更され、さらには施行日も複数(一部は未施行)になるなど、専門家の間でも複雑でわかりにくいとの声が上がっています。 そこで、本書では、令和4年4月の施行(未施行部分含む)を踏まえ、2度にわたる改正で企業や専門家が押さえておくべきポイントを65のQ&Aで整理・解説しています。
 
(この項おわり)
header