基本編_個人情報管理の重要性（本編）

Transcription

1 個人情報管理の重要性 2019 年 5 月 21 日 一般財団法人日本情報経済社会推進協会プライバシーマーク推進センター

2 目次 1. 個人情報の管理はなぜ必要? はじめに 個人情報の取扱いに関する事故の傾向 個人情報の取扱いに関する事故の影響 個人情報を適切に取り扱うために 2. 当社の個人情報取扱いルールについて 個人情報保護方針 個人情報保護の体制 個人情報保護に関する規程 緊急事態への対応 3. まとめ 2

3 1. 個人情報の管理はなぜ 必要? 3

4 はじめに 4

5 はじめに 個人情報の管理はなぜ必要なのでしょうか? 個人情報を有効に活用 して事業の拡大に活かす お客様に安心 信頼して取引を続けていただく 自社事業の継続 発展 社会的な信頼の獲得 したがって 個人情報の漏えい等の事故は大きな社会問題に! 5

6 頻発する個人情報の漏えい等の事故 巧妙化 高度化するサイバー攻撃 ヒューマンエラーによる事故 データの誤入力 誤操作 置き忘れ 盗難による紛失など 内部 ( 関係者 ) による不正行為 委託先からの漏えい等 など どの企業にも起こりうる 緊急事態が発生したらどうしよう 100% 防ぐのは難しい 6

7 個人情報の取扱いに関する事故の 傾向 JIPDEC 公表の統計資料平成 29 年度 個人情報の取扱いにおける事故報告にみる傾向と注意点 より 7

8 平成 29 年度の事故報告概要 事故の原因は メール誤送信 (26.5%) が最も多く 次いで 紛失 (19.1%) の順 前年度に比べメール誤送信の割合が増えている 事故の原因のうち 内部不正行為 事務処理 作業ミス の件数が昨年度と比較し 2 倍に増加 インターネットを介した漏えい事故も少なからず報告があった 例. 公開対象ではない個人情報が外部から閲覧できる 8

9 個人情報の取扱いに関する事故の傾向 (1) 原因別事故報告の状況 6.7% 5.2% 10.4% 7.8% 14.8% 13.4% 13.9% 20.0% 12.5% 13.7% 15.1% 19.1% その他誤送付 6その他 5 宛名間違い等 4 封入ミス 3その他漏えい等 2 紛失 1メール誤送信 20.7% 26.5% 1 メール誤送信の割合が最も多い 平成 28 年度 平成 29 年度 (2,044 件 ) (2,399 件 ) 出典 :( 平成 29 年度 ) 個人情報の取扱いにおける事故報告にみる傾向と注意点 9

10 個人情報の取扱いに関する事故の傾向 (2) 原因別事故報告の状況における 3 その他漏えい等 の内訳 ( 件数 ) 内容 プログラム / システム設計 作業ミス システムのバグ 不正アクセス 不正ログイン 口頭での漏えい 事務処理 作業ミス 関係者のミスによる漏えい ウィルス感染 合計 平成 28 年度 平成 29 年度 原因別事故報告の状況における 6 その他 の内訳 ( 件数 ) 2 倍強に増加 内容 不正取得 目的外利用 同意のない提供 内部不正行為 誤廃棄 消失 破壊 左記に分類できない内容 評価対象外 置引き等 車上荒し 合計 平成 28 年度 平成 29 年度 出典 :( 平成 29 年度 ) 個人情報の取扱いにおける事故報告にみる傾向と注意点 10

11 メール誤送信の事故事例と防止策例 事故のパターンと事例 メール宛名間違い アドレス帳から同姓の別人のメールアドレスを選択した メーラーのオートコンプリート機能により別人のメールアドレスを設定した コピー & ペーストでのミス ファイルの添付ミス A 社に送信する際 B 社用のファイルを添付した 添付したファイルの内容に他社分の個人情報も含まれていた BCC と TO/CC の誤り 本来 BCC 送信すべきとこ ろを TO や CC で送信した 防止策例 メール送信前の確認の徹底 メールアドレス 内容 添付ファイルの確認 確認のルール化 マニュアル化 ルールの教育など メーラーの設定変更 メーラーの設定を送信前に宛先 メール内容が確認できる設定に変更するなど 添付ファイルの暗号化 ファイルの暗号化 パスワードロック等の秘匿化など 11

12 インターネットを介した事故事例と防止策例 事故のパターンと事例 作業ミス A 社のデータを 誤ってB 社のオンラインストレージにアップロードした Webサイト更新時 公開用フォルダに一時的に移動した個人情報が含まれるデータを削除し忘れた ID/ パスワードの漏えい 会員 Cに対し 会員 D 用のID/ パスワードをメールで送信した E 社にF 社用の取引先ページの ID/ パスワードを送信した 設定ミス クラウド上での作業時 取引先従業員情報の非公開設定を失念した Webサイトのアクセス制限設定を誤り 個人情報が掲載されたページが閲覧できる状態となった 防止策例 手順やルールの見直し 具体的な手順等の工夫 注意喚起 教育 委託先の管理 適切な業務運営やガバ 二重チェック体制の構 教育方法 実施時期 定期的なモニタリング ナンス体制の構築 築 内容の見直し 監査の実施 作業実施ルール 新たな手順の導入 など など チェックルールの確認 など 見直し など 12

13 内部不正行為による事故事例と防止策例 事故のパターンと事例 従業者によるもの 人事情報を他部署の従業者が無断で持ち出した 営業担当者が顧客になりすまし 代金の払い戻しを受けた 退職者によるもの 元社員が顧客データを持ち出し転職先での営業活動に利用した 元社員が顧客名簿を持ち出し 他の事業者に転売した 委託先によるもの 委託先の従業者が自宅で作業するため 個人データを持ち出した 委託先従業者が委託元の社員名簿を持ち出し社員に迷惑メールを送った 防止策例 データ管理状況の見直し 端末や社内システムへの接続制限 退職者に係る取扱いルール見直し ( 秘密保持契約締結 迅速な ID 削除等 ) 注意喚起 教育 13

14 その他日常業務での事故事例と防止策例 事故のパターンと事例 口頭での漏えい 電話での本人確認が不十分だったた 盗難 紛失 携帯電話 スマホの紛失が増加 め 本人と誤認して別人に個人情報 を教えた 誤って別人のログイン ID 等を伝えた 防止策例 対応ルール 手順の確認 見直し 従業者への注意喚起 教育 B さん? A さん? 14

15 個人情報の取扱いに関する事故の 影響 15

16 個人情報の事故を起こしてしまうと お客様は もうこの会社を利用するのはやめよう 信頼して預けたのに 悪用されたらどうしよう 私の情報も漏えいしたかもしれない 心配 取引先は 今後 継続的な取引は見直した方がいいだろうか? 取引への対応が遅れて困る 自社は 問合せが殺到 大変だ 原因は何? 影響は? 何をすれば? これまで築いてきた信頼は 苦情の対応に苦慮 16

17 個人情報の取扱いに関する事故の影響 信頼の損失信頼の失墜 社会的な信用の失墜 顧客や取引先の信用を 失う 企業ブランドのイメー ジダウン 信頼の失墜 経済的な損失 再発防止策への投資 本人への補償 業務の停止 ( 営業機会の損失 ) 信用回復のための投資 事業継続へのダメージ 株価の下落 取引の減少 取引の減少 経営状況の悪化 最悪の場合 事業終了も 17

18 個人情報の取扱いに関する事故の影響 ( 事例 ) 事例 1: ウイルス感染で数日間業務が停止し 数千万円の被害が発生 ( 所在地 : 東京都 / 業種 : 情報通信業 / 従業員規模 :101 ~ 300 名 ) 社内のパソコンやサーバーがウイルスに感染し 数日間に亘った業務停止に至る障害が発生した 復旧のために徹夜で対応したが その間の会社としての被害額は推計で数千万円に上る 原因は 被害が発生するまで セキュリティ対策ソフトを全く導入していなかったことである その後 ウイルス対策ソフトや技術的な対策の導入 情報セキュリティ規則の制定 プライバシーマークや ISMS 認証取得に取り組み 再発防止に努めている 事例 2: 顧客情報の入ったパソコンの紛失事故により取引先の信用を失墜 ( 所在地 : 東京都 / 業種 : 情報通信業 / 従業員規模 :101 ~ 300 名 ) 従業員が顧客情報の入ったパソコンを持ち出した時に紛失事故が発生した 顧客に対して紛失の報告をしたが信用を失うこととなった 原因は 会社として情報セキュリティに対する意識が高くなかったため 持ち出しに関する明確なルールや手続きを定めておらず 従業員がパソコンを自由に持ち出せる環境であったことである その後 情報機器の暗号化などの対策を実施するとともに パソコンの持ち出しルールを含めた情報セキュリティ規程を整備して従業員へ情報セキュリティ教育を行った 出典 : 独立行政法人情報処理推進機構 (IPA) 中小企業の情報セキュリティ対策ガイドライン第 3 版 個人情報漏えいインシデント : 一人当たり平均損害賠償額 2 万 3,601 円 出典 :NPO 日本ネットワークセキュリティ協会 (JNSA) 2017 年情報セキュリティインシデントに関する調査報告書 速報版 18

19 個人情報の取扱いに関する事故の影響 ( まとめ ) 非常に大きな 損失が発生 影響の長期化 本人へのお詫びや補償以外にも 社会的説明責任を果たすには様々な対応が必要 被害規模の拡大 漏えいした情報の回収が困難 一度失った信頼の回復が困難 一瞬の事故が大きな問題に では どうしたら? 19

20 個人情報を適切に取り扱うために 個人情報取扱いルールの運用 20

21 ルールを定め 理解し守ること 事故を起こさない ( 未然防止 ) 事故が発生した場合の影響 を最小限に抑える 事故を起こさないための 体制 対策のルール化 早期発見 緊急時対応の ルール化 従業者は 定められたルールを 理解し 守る 従業者は 事故発覚 発見時に ルールに従って行動する 21

22 個人情報保護リスク対策の見直し 個人情報の取扱いのPDCAサイクルルールは適宜見直し 必要に応じて改善することが重要です リスク対策の見直しルールの見直し Act ( 改善 ) Plan ( 計画 ) 継続的改善 保護水準向上 最新のリスク対策の策定 運用状況の確認 対策の有効性のレビュー Check ( 点検 ) Do ( 実施 ) ルールに従った運用 22

23 万が一事故を起こしてしまったら 重要なことは迅速な対応と再発防止の徹底 迅速な対応 緊急時対応のルールに従い迅速 かつ適切な対応 早期の信頼回復 再発防止の徹底 適正な改善策 再発防止策の策 定と実施を徹底 保護水準のさらなる向上 23

24 2. 当社の個人情報取扱い ルールについて 24

25 個人情報保護方針 25

26 個人情報保護の体制 26

27 個人情報保護に関する規程 27

28 緊急事態への対応 28

29 3. まとめ 29

30 まとめ 30

31 ( 参考 ) プライバシーマーク制度における事故とは プライバシーマーク付与に関する規約 (PMK500) 第 5 章第 11 条 個人情報の外部への漏えいその他本人の権利利益の侵害 ( 以下 事故等 という ) プライバシーマーク制度における欠格事項及び判断基準 (PMK510) 4. 個人情報の取扱いに関する事故についての判断基準 で示す以下の事象 1 漏えい 2 紛失 3 滅失 き損 4 改ざん 正確性の未確保 5 不正 不適正取得 6 目的外利用 提供 7 不正利用 8 開示等の求め等の拒否 9 上記 1~8 のおそれ 31