Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク):最近の事故事例(紛失編)

2019年7月8日

近年個人情報の漏洩やその事故についてニュースでもよく話題になり、企業の皆様もより一層の注意と教育を実施していることと思います。

さて今回のテーマは事故事例の紛失についてお伝えいたします。
個人情報の漏洩事故といえばどんなものがあるのか、また何が原因で発生しているのでしょうか。

Pマーク(プライバシーマーク)付与事業者数と事故報告件数

まずは、Pマーク(プライバシーマーク)付与事業者数と事故報告の件数についてです。

年度
22年度
23年度
24年度
25年度
26年度

付与事業者数
691
682
620
736
768

事故報告件数
1,590
1,434
1,447
1,627
1,646

上記をみると年々事故発生の企業数と報告の件数が増えていますね。Pマークを持っているからと言って、個人情報を漏洩しないわけではないのです。
しかし、こうして報告を行うことで自社の中で原因をつきとめ、再発防止に努める活動が実施されます。

現状のPマークの付与事業者全体の数値はこちらです。

年度
22年度
23年度
24年度
25年度
26年度

付与事業者数
12,091
12,564
13,075
13,591
14,044

年々Pマークを取得する企業が増えているのがわかります。
企業的、社会的にも個人情報に対する意識の向上が見受けられます。

JIPDEC HP参照
http://www.privacymark.jp/news/2015/0825/index.html

個人情報漏洩事故の発生原因

そもそも漏洩事故と聞くと皆様はどんな事故を想像するでしょうか?実際どんな漏洩事故が多いと思いますか?

事故の発生原因 トップ3

1位 紛失 25%
2位 メール誤送信 18%
3位 宛名間違い 17%

JIPDEC HP参照
http://www.privacymark.jp/news/2015/0825/index.html

こうして見てみるとウィルス感染や、車上荒らし、盗難等外部による影響が原因で漏洩事故が起こる確率は極めて低いと言えます。
一番の原因は事業者従業員によるミス、人為的なもので漏洩する確立が多いのです。

紛失事故事例

紛失が一番多いことがわかったところで次に、どんな紛失の事故が起きているか他社事例をご紹介致します。

奈良県立医大病院

奈良県立医科大学付属病院において、精神科を受診した患者の個人情報が保存されたUSBメモリが所在不明になっていることがわかった。

3月11日にUSBメモリを使用しようとした際、なくなっていることへ気付いたもの。
前日10日に職員が執務室にあるパソコン内の検査所見を印刷するため、プリンターがある別室でUSBメモリを使用したが、それ以降の所在がわからないという。

紛失したUSBメモリには、同院の精神科を受診した患者283人の氏名やID、生年月日、年齢、検査所見などが保存されていた。
USBメモリやデータに、パスワードは設定されていなかったという。

同院では警察へ紛失届を提出するとともに、対象となる患者に書面による説明と謝罪を行う。
また別室へ持ち出す必要がないよう、執務室へプリンタを設置。USBメモリの利用を中止した。

滋賀銀行

滋賀銀行にて個人情報含む書類を一時紛失。
同行長浜北支店にて渉外担当行員が顧客宅訪問の際に、面談の際の参考のために顧客個人情報含む書類を支店外に持ち出し、途中に立ち寄った場所の軒先に置き忘れたことにより紛失した。

後日当該書類の拾得者から、軒先に書類が放置されている旨の連絡があり、置き忘れによる紛失が発覚。

同行は直ちに拾得者に会って当該書類を回収した。
また、当該書類に記載の顧客宅を訪問して事実関係説明とお詫びを行った。

同行では原則として行外に顧客個人情報は持ち出さないことになっていたが、当該行員は書類を無断で持ち出していた。
現時点では情報の外部流出や悪用は確認されていない。

紛失事故は従業員のふとしたことがきっかけで容易に起こりえる事故です。
会社全体でどれだけ個人情報が大切か、また漏洩した場合にどんな影響があるかを教育していく必要があります。

また、その教育方法やどれだけ力を入れるかはやはり企業それぞれです。

その他の紛失事故事例

その他の紛失事故についてもご紹介させて頂きます。

情報漏えい・紛失事故 2015年は6月15日時点で31社、40件が発生

2012年1月以降に発生した個人情報漏えい・紛失事故を年別にみると、2013年(87社、漏えい・紛失事故件数107件)が最も多く、2014年は (59社、同70件)と減少した。
ただし、2015年(1月~6月15日)は31社、40件発生しており、前年を上回るペースで推移している(年毎に集計 しているため社数の合計は179社を上回る)。

1万件未満の漏えい・紛失事故が8割以上を占める

事故件数288件のうち、漏えい・紛失件数が最も多かったのは100件未満で95件(構成比32.9%)だった。書類などの紙媒体や個人利用の携帯電話を 紛失したことによる顧客情報の紛失が中心。

以下、100件以上1,000件未満が78件(同27.0%)、1,000件以上1万件未満が67件(同 23.2%)と続き、1万件未満が8割以上を占めた。
ただ、100万件以上の漏えい・紛失は4件(同1.3%)発生した。上位4件の漏えい・紛失件数の合計は6,776万人分の個人情報で、全体の9割以上におよんだ。

漏えい・事故件数最多はNTTグループ

2012年1月以降、漏えい・紛失事故が最も多かったのはNTT(日本電信電話)で、合計21回だった。
100%子会社のエヌ・ティ・ティ・コミュニケーションズ(株)、西日本電信電話(株)、東日本電信電話(株)などで発生した。
次いで、りそなホールディングス[(株)りそな銀行、(株)埼玉りそな銀行、(株)近畿大阪銀行]の9回、東京ガス、パナソニックの各7回と続く。

電話、ガス、金融など公共性が高い企業は保有する個人情報が多いことに加え、徴収業務などは人海戦術で多数の従業員が個人情報に触れる機会がある。
顧客が記入した申込書や伝票などを業務中に紛失するケースなども目立った。

最悪の漏えい・紛失件数はベネッセホールディングスの3,504万件

1件の事故で漏えい・紛失件数が最大だったのは、ベネッセホールディングス[(株)ベネッセコーポレーション、2014年7月発生]の3,504万件で、 断トツだった。
委託先社員による不正取得と転売が明るみになり、刑事事件に発展した。

次いで、外部からの不正アクセスを受け最大2,200万件のIDが外部流失した可能性を公表したヤフー(2013年5月発生)、合計672万人分の過去の顧客取引データを記録したコムフィッシュ(記録メディア)を紛失した三菱UFJフィナンシャル・グループ[(株)三菱東京UFJ銀行、2012年11月発生]と続く。

いずれも膨大な顧客情報を管理する大手企業で発生し、情報管理の難しさを露呈した。

原因別 最多は紛失・誤廃棄

情報漏えい・紛失事故288件のうち、主な理由として最も多かったのは「紛失・誤廃棄」の132件(構成比45.8%)だった。
次いで「誤表示・誤送信」が59件(同20.5%)、「ウイルス感染・不正アクセス」が53件(同18.4%)と続く。

最も多かった「紛失・誤廃棄」は、書類や記録メディアを廃棄処分していた事が社内調査等で判明したケースがほとんどで、実際に社外へ流失した可能性は低いとみられる。
「誤表示・誤送信」は、システムトラブルや管理者の人為的なミスを中心に発生している。

1事故あたりの情報漏えい・紛失件数の平均では「盗難」が120万8,728件と突出したが、これは顧客データを不正取得されたベネッセホールディングス が押し上げたため。
紙媒体が中心の「紛失・誤廃棄」と、機械的に情報を抜き取る「ウイルス感染・不正アクセス」との間には情報漏えい・紛失件数で8倍以上 の差がみられ、流出した際の被害の深刻度はケタ違いになる恐れがある。

Livedoor NEWS 参照
http://news.livedoor.com/article/detail/10246732/

最後に

いかがでしたか。

紛失の漏洩事故はどんな企業には発生する可能性のある問題です。
どれだけ教育に力を入れるのか、また他社がどのような対策や教育を実施しているかについては、当社のコンサルタントが数多くの事例を持っています。

一番よく言われ多く実施しているのは、あっさり・しつこく同じ事を繰り返し実施する教育です。
教育に課題をお持ちの方がいましたら、ぜひ一度ご相談ください。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。