2021年1月29日
コロナウイルスの感染が拡大している中、2021年に入ってから、自治体によるコロナウイルス感染者の個人情報の漏えいが疑われる事故が多数発生しています。
それらの事故の原因は特殊なものではなく、どんな組織でも起こりうるものであることがほとんどのようです。通常とは異なる業務を行わなければならない中で注意力が低下してしまい、ありきたりなミスが起こってしまう、そのような状況を想像します。
事故を起こしてしまった主体が自治体ということもあり、報道もおこなわれ世間に知られていますが、その裏には報道されない漏えい事故が多数発生しているものと思われます。漏えいは発生しないにしても、その一歩手前となったヒヤリ・ハットはそれ以上に起こっているはずです。
そこで今回は、今年1月に起こった事故を他山の石として、発生しやすい事故のパターンをご説明します。
●水戸市がコロナ感染疑いの個人情報、報道機関に誤送信(毎日新聞 1月26日)
●コロナ患者の個人情報 和歌山市が誤送信(わかやま新報オンラインニュース 1月24日)
メールやFAXの誤送信は個人情報漏えいの原因の中でもっとも多いと思われるものです。
上記ニュースの記事によれば、「FAX送信先ボタンの押し間違え」「メール送信を他の人に依頼した際、依頼者が誤った送信先アドレスを伝えた」ことが原因のようです。
こうした例の他、「メールを大量に送信する際にBCCにいれるべきメールアドレスを誤ってCCにいれてしまう」といった例は枚挙にいとまがありません。
メールにしろFAXにしろ、非常に簡単に送信先を設定することができます。その上、重要な個人情報を送信する際にも、送信先のダブルチェックがルール化されていない組織も少なくないようです。
慣れない業務の場合や忙しい時は注意力が低下しがちですが、「個人情報を送信する時には送信先の設定には細心の注意を払う」「多くの個人情報を送信する場合は必ずダブルチェックをしてもらう」など、なんらかの対策を実施することが求められると思われます。
●福岡県 新型コロナ感染者9500人の個人情報流出(NHK 1月6日 )
各種オンラインストレージが普及しつつあり、組織内、また組織を横断したファイルの共有を非常に簡単に行うことができるようになっています。
メールやFAXの誤送信と構造が非常に似ていますが、オンラインストレージはワンクリックで簡単にファイルを共有できる反面、情報漏えいの防止には神経を尖らせる必要があります。
上記の記事では、感染者情報のファイルについて、アクセス権限が付与されたメールを誤って外部の男性1人に送信したということです。
男性からの連絡があり、ファイルが入ったフォルダにアクセスできないよう制限をかけましたが、ファイル自体への制限をかけていなかったため、ファイルのURLを入力すればアクセスが可能な状態が1か月余り続いていたということです。
メールを誤って送ってしまった部分についてはメール誤送信と似た原因になりますが、その後にアクセス可能な状態になってしまっていたことは、オンラインストレージ特有の問題といえます。
オンラインストレージサービスの種類にもよりますが、フォルダ単位で共有設定をつけることもできるが、ファイル単体の共有設定をフォルダの共有設定より優先することもできる等、様々な設定が可能になっているようです。記事のケースでは、そういった設定について理解していなかったことが原因となったのかと思われます。
オンラインストレージについては、詳細な共有設定ができる反面、正確な運用が難しいと言えるかもしれません。また、無料で利用可能なものもあり、組織の目の及ばないところで従業員が勝手に利用する、いわゆるシャドーITの状態も発生しやすいようです。
メールやFAXの誤送信による漏えいよりも、オンラインストレージの誤操作による漏えいの件数の方が多くなる時代もくるかもしれません。
手軽に始められることから、仕組み等を理解せずに使い出してしまうケースも多いようですが、個人情報に限らず組織内のファイルが外部に漏れてしまったら大変大きな問題になります。利用に際しては、まずしっかりと利用方法を確認することが求められます。
以上、最近の事故を例として、発生しやすい事故の原因について説明いたしました。
事業を運営する上では、個人情報の活用は必須のものとなります。また、お客様や取引先に信頼していただかなくては事業の拡大、継続はままなりません。
個人情報の漏えい、あるいは不適切な利用といった事故は、外部からの信頼をそこない甚大な影響を及ぼします。実際に個人情報に関する事故が原因となり、事業解散となった事例もあります。もちろん、情報を漏えいされた本人にも様々な被害が及びますし、一度漏えいした情報は複製されながら広がってしまうかもしれません。
今回ご紹介した事例は個人情報に関する事故の典型的なパターンであり、誰がいつ起こしてもおかしくないものです。メールやFAXの送信時、オンラインストレージの利用時には、いとも簡単に情報の漏えいが起きてしまうことを理解し、細心の注意を払ってください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。