（平成26年度）「個人情報の取扱いにおける事故報告にみる傾向と注意点」

Size: px

Start display at page:

Download "（平成26年度）「個人情報の取扱いにおける事故報告にみる傾向と注意点」"

わんどこのえ
5 years ago
Views:

1 ( 平成 26 年度 ) 個人情報の取扱いにおける事故報告にみる傾向と注意点一般財団法人日本情報経済社会推進協会 (JIPDEC) プライバシーマーク推進センター平成 27 年 8 月 25 日平成 26 年度中に当協会 (JIPDEC) 及び審査機関 ( 平成 26 年度末現在 18 機関 ) に報告があったプライバシーマーク付与事業者 ( 以下付与事業者 ) の個人情報の取扱いにおける事故についての概要を報告する平成 26 年度の事故報告内容は事故の原因及び盗難紛失の媒体においておおよそ前年度と同様の傾向にある付与事業者各位においては引き続き個人情報の取扱いに関する事故の再発防止に活用して頂きたい平成 26 年度の報告件数付与事業者より 1,646 件の事故報告があり前年度の 736 付与事業者 :1,627 件より事業者数事故報告件数共に若干増加した 2 平成 26 年度末時点の付与事業者数 ( 下記 1. の参考 : 有効付与事業者数の推移を参照 ) に占める事故報告事業者の割合は 5.5% であり前年度 (5.4%) とほとんど差異はない報告内容の概要 1 事故の原因は紛失 (25.2%) が最も多く次いでメール誤送信宛名間違い等封入ミスの順に割合が多く前年度とほぼ同様の傾向にあるが封入ミスメール誤送信の増加が目立つ 2 盗難紛失の媒体について全体的には平成 24~25 年度と同様に書類スマホを含む携帯電話の紛失が多く報告されているスマホを含む携帯電話やノート PC は平成 25 年度に一旦減少したが平成 26 年度には件数割合共に増加した (125 件 :28.1% 153 件 :32.3%) 一方平成 24~25 年度に過半数を占めていた書類の割合が若干減少し半数を下回る割合 (48.3%) であった 1. 事故報告 (*) のあった付与事業者数と事故報告件数 ( 平成 22~26 年度 ) 年度 22 年度 23 年度 24 年度 25 年度 26 年度付与事業者数事故報告件数 1,590 1,434 1,447 1,627 1,646 (*) 配送物の中に個人情報が含まれていても配送委託先のミスが原因で事故 ( 配送ミス紛失等 ) が発生した場合は欠格性 ( 欠格レベル ) の評価において不可抗力によるものとし措置なしの評価を行っている当該理由により措置なしと評価した付与事業者数と事故報告件数は含めていない参考 : 有効付与事業者数の推移 ( 平成 22~26 年度の各年度末時点 ) 年度 22 年度 23 年度 24 年度 25 年度 26 年度付与事業者数 12,091 12,564 13,075 13,591 14,044 1

2 2. 付与事業者から報告のあった原因別事故報告件数と割合 ( 平成 24~26 年度 ) 平成 24 年度平成 25 年度平成 26 年度原因宛名間違い等配達ミス誤送付 ( 1) 封入ミス漏えい FAX メールウィルス感染その他漏えい ( 2) 車上荒し盗難紛失盗難置き引き等紛失その他 ( 3) 報告件数 ,447 割合 ( % ) 報告件数 ,627 割合 ( % ) 報告件数 ,648 割合 ( % ) : 誤送付の分類について宛名間違い等は誤送付の原因となる配送に関係する事務処理上のミス( 宛名書き間違い誤登録誤入力等 ) 及び渡し間違い等である配達ミスは付与事業者自らが配達した際の間違い等である 2: その他漏えいの内容についてその他漏えいにはプログラム / システム設計ミス不正アクセスによる漏えい口頭での漏えい及びその他ヒューマンエラーと考えられるもの等が含まれる平成 24~26 年度のその他漏えいの内訳は以下の通り内容プログラム / システム設計作業ミスシステムのバグ不正アクセス不正ログイン口頭での漏えいその他平成 24 年度報告件数平成 25 年度報告件数平成 26 年度報告件数 : その他の内容について平成 24~26 年度のその他の内訳は以下の通り内容不正取得目的外利用同意のない提供内部不正行為誤廃棄消失破壊左記に分類できない内容平成 24 年度報告件数平成 25 年度報告件数平成 26 年度報告件数事故に対する主な注意事項等 IT 関連事故に関して IT 関連事故はコンピュータシステム情報システムネットワークシステムにおけるあるいは IT 機器操作における事故等を指すが前年度より報告件数は減少したものの内容の複雑化が見られる 2

3 IT 関連事故の特徴として以下の様なケースが挙げられる (1) 被害対象の規模が大きいケースがある (2) 金銭的被害に結び付くケースがある (3) ニュースになるような話題性のあるケースがある等 < システムプログラム上の問題による IT 関連事故 > システムプログラム上の問題による事故の原因はシステム等の設計不備設計ミス公開表示設定ミスアクセス権設定ミス操作ミス検証不備検証ミス等でありシステム導入時システム移行時専任担当に任せている委託先に全て任せている等の状況において発生しているとの報告がある設計不備設計ミス操作ミス検証不備検証ミス等に対し具体的な防止策を講じると共に (1) 手順やルールの見直し (2) 作業実施ルールの確認見直し (3) チェックルールの確認見直し (4) 具体的な作業手順等の工夫 (5) 従業員への注意喚起教育 (6) 委託先の管理等体制整備の視点からの事故防止策を検討することが重要であるまた万が一事故が発生した場合に備え二次被害等防止策についても見直し確実に実行できるような従業員教育も必要である < 不正行為による IT 関連事故 > 不正行為には外部からのものと内部におけるものがあるが平成 26 年度の従業員等による内部不正行為の報告は平成 24~25 年度に比べ件数が増加し重大事故に発展した事例もあり事故の原因としては特に注意を要する内容である不正行為による事故はデータの不正持出し不正使用不正アクセス不正ログイン等があり原因としては 1 データの保管ミス 2 アクセス制御ミス 3 不正持出し防御ミス 4 システムの脆弱性 5 なりすまし等が報告されているまた委託契約終了時雇用契約終了時個人情報の取扱権限の集中個人情報の放置委託先管理の問題等の要因もあり注意が必要であるデータの不正持出し不正使用不正アクセス不正ログインへの対策としては (1) 個人情報抽出用端末の制限及びアクセス範囲および権限者を最小限にすること (2) 権限を持つ者の不正行為の抑制のために入退室記録システムへのアクセスログ等の取得と記録の確認を定期的に行うこと (3) 退職者のアカウントの削除等対応を確実に行うこと (4) システムの脆弱性等への対応を確実に行うこと (5) サイトへの外部からのアクセス状況の監視を継続すること (6) 委託先における個人情報の取扱い状況の確認及び再委託等の状況の把握等適切な委託先の監督を行うこと (7) 社内においては常時監視していることを従業員に意識させる等内部不正行為に対するけん制の対応を検討すること (8) 内部での報告体制を明確にしておくこと等が挙げられる合わせて社会人としてのモラルや仕事や役割に対する責任感ルール違反を行った際に予想される結果等についても教育を行い個人情報保護の意識を向上させることが考えられる内部不正行為防止については独立行政法人情報処理推進機構 (IPA) にて組織における内部不正防止ガイドラインを公表しているので参考にして頂きたい 3

4 盗難紛失事故について盗難事故 ( 車上荒らし置き引き等 ) の報告件数は前年度に比べ件数割合共に増加し (32 件 : 2.0% 48 件 :2.9%) 特に置き引き等の件数割合の増加が目立っている紛失事故の報告件数は前年度に比べ件数割合共に微増し全報告件数に占める件数割合は平成 24~25 年度と同様最も多い (416 件 25.2%) 盗難紛失の媒体別内訳は下記の表の通りである全体的には平成 24~25 年度と同様に書類スマホを含む携帯電話の紛失が多く報告されているスマホを含む携帯電話やノート PC は平成 25 年度に一旦減少したが平成 26 年度には件数割合共に増加した (125 件 :28.1% 153 件 :32.3%) 一方書類は前年度に比べ件数割合共に減少し平成 24~25 年度に過半数を占めていた書類の割合が半数を下回る状況であった外出時移動中の紛失事故は置き忘れ落下転倒強風等の外的要因等が原因となって発生し手荷物が多い時疲れている時飲酒飲食時睡眠不足何か急いでいる時等の状況において発生しているとの報告がある置き忘れや落下防止等に対する具体的な紛失防止策や手順やルールの見直し等の体制の整備のほか紛失事故の発生し易い状況を回避する等を意識した従業員の行動がポイントとなることを認識した従業員教育も重要であるスマホやノート PC タブレット端末の場合大量の個人情報の保存が可能となり事故等が発生した場合のリスクが一層大きくなっている紛失盗難の件数割合は前年度において減少がみられたものの件数割合共に増加した状況から個人情報の漏えい対策としてリモートロックや遠隔消去等機能として対応できる対策のほか機器を使用する従業員に対する教育が最重要課題であることの認識が必要と考える盗難事故には移動時の乗物内での盗難飲食店やホテルロビー等での盗難路上公園等屋外での盗難車上荒し等があり持ち物から意識が薄れる時持ち物から遠ざかった時夜間の外出海外出張時等の状況において発生しているとの報告がある万が一事故が発した場合に備え媒体別の二次被害等防止策を講ずると共に緊急時の対応ルールが確実に実行できることが重要である盗難紛失の媒体別内訳 ( 平成 24~26 年度 ) 媒体等書類携帯電話スマートフォンノート PC モバイル機器 USB メモリ等可搬記録媒体その他の電子機器その他の媒体 ( 1) バッグ類 ( 2) 盗難 (47) 平成 24 年度紛失 (379) 計 (426) 割合 (%) 盗難 (32) 平成 25 年度紛失 (404) 計 (436) 割合 (%) 盗難 (48) 平成 26 年度紛失 (416) 計 (464) 割合 (%) ( 注 1) 盗難紛失のカッコ内は事故報告件数 ( 注 2) 盗難や紛失は一つの事故で複数媒体が関係することもあるのでと事故報告件数は合致しない ( 1) その他の媒体 : 名刺 ( 名刺入れ ) 社員証入館証(ID カード ) 検体等 ( 2) バッグ類 : 個人情報の盗難紛失の事故であるが収納されていた媒体が不明のもの 4

5 封入ミスファックス誤送信宛名間違い等の事故に関する主な注意事項等については ( 平成 25 年度 ) 個人情報の取扱いにおける事故報告にみる傾向と注意点の資料を参考にして頂きたい最近の個人情報の取扱いにおける事故について < 標的型攻撃に関する情報提供 > 昨今多くの企業団体が標的になっている標的型攻撃とは特定の組織内の情報 ( 機密情報や知的財産ユーザーアカウント情報など ) を狙って行われるサイバー攻撃の一種でありその組織の従業者宛にコンピュータウイルスが添付されたメールを送ること等によって開始される標的型攻撃の防御対策等についてはセキュリティシステムで入口対策 ( 攻撃の侵入を防ぐ対策 ) に加え出口対策 ( 侵入後に被害の発生を防ぐ対策 ) を充実させる従業者の心構えとセキュリティシステムの出口対策がポイントであり組織全体のセキュリティレベルを向上させる等が言われているが独立行政法人情報処理推進機構 (IPA) にて IPA テクニカルウォッチ : 標的型攻撃メールの例と見分け方等標的型攻撃に関する資料を公表しているので参考にして頂きたい < 参考 1> 平成 17 年度 ~ 平成 25 年度の個人情報の取扱いにおける事故報告にみる傾向と注意点についてはこちらを参照してください 5

（平成27年度）「個人情報の取扱いにおける事故報告にみる傾向と注意点」

（平成27年度）「個人情報の取扱いにおける事故報告にみる傾向と注意点」 ( 平成 27 年度 ) 個人情報の取扱いにおける事故報告にみる傾向と注意点一般財団法人日本情報経済社会推進協会 (JIPDEC) プライバシーマーク推進センター平成 28 年 8 月 22 日平成 27 年度中に当協会 (JIPDEC) 及び審査機関 ( 平成 27 年度末現在 18 機関 ) に報告があったプライバシーマーク付与事業者 ( 以下付与事業者 ) の個人情報の取扱いにおける事故についての概要を報告する