ホーム > お知らせ2014年一覧 > (平成25年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」について

(平成25年度)
「個人情報の取扱いにおける事故報告にみる傾向と注意点」について

平成26年8月25日
一般財団法人日本情報経済社会推進協会(JIPDEC)
プライバシーマーク推進センター


平成25年度中に当協会(JIPDEC)及び審査機関(平成25年度末現在18機関)に報告があったプライバシーマーク付与事業者(以下、付与事業者)の個人情報の取扱いにおける事故についての概要を報告する。

平成25年度の事故報告内容は、事故の原因及び、盗難・紛失の媒体において、おおよそ前年度と同様の傾向にあるため、事故に対する主な注意事項についても前年度とほぼ同様であるが、引き続き個人情報の取扱いに関する事故の再発防止に活用して頂きたい。

【このページのPDF版】
(平成25年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」(351KB)

【平成25年度の報告件数】
  1. 736付与事業者1,627件の事故報告があり、前年度の620付与事業者1,447件より、事業者数、事故報告件数共に増加した。特に、報告のあった事業者数は20%弱の増加となっている。
  2. 平成25年度末時点の付与事業者数(下記1.の「参考:有効付与事業者数の推移」を参照)に占める事故報告事業者の割合は5.4%であり、前年度(4.7%)より増加している。
【報告内容の概要】
  1. 事故の原因は、「紛失」(24.8%)が最も多く、次いで「メール誤送信」「宛名間違い等」「封入ミス」の順に割合が多く、前年度とほぼ同様の傾向にある。中でも、「宛名間違い等」の増加が目立つ。
  2. 盗難・紛失の媒体は、前年度に比べ携帯電話が件数・割合共に減少しているが(150件:34.3%→125件:28.1%)、前年度と同様に書類が半数(52.6%)を占めている。

1.事故報告(*)のあった付与事業者数と事故報告件数(平成21~25年度)

表:事故報告(*)のあった付与事業者数と事故報告件数(平成20~24年度)

(*) 配送物の中に個人情報が含まれていても、配送委託先のミスが原因で事故(配送ミス・紛失等)が発生した場合は、欠格性(欠格レベル)の評価において不可抗力によるものとし、「措置なし」の評価を行っている。当該理由により、措置なしと評価した付与事業者数と事故報告件数は含めていない。

参考:有効付与事業者数の推移(平成10~25年度の各年度末時点)
表:参考:有効付与事業者数の推移(平成10~25年度の各年度末時点)

2.付与事業者から報告のあった原因別事故報告件数と割合(平成23~25年度)

表:付与事業者から報告のあった原因別事故報告件数と割合(平成23~25年度)
※1:「誤送付」の分類について
  • 「宛名間違い等」は、誤送付の原因となる配送に関係する事務処理上のミス(宛名書き間違い、誤登録・誤入力等)及び渡し間違い等である。
  • 「配達ミス」は、付与事業者自らが配達した際の間違い等である。
※2:「その他漏えい」の内容について
  • 「その他漏えい」には、『プログラム/システム設計ミス』『不正アクセスによる漏えい』『口頭での漏えい』及びその他『ヒューマンエラーと考えられるもの』等が含まれる。
平成25年度の「その他漏えい」の内訳は以下の通り。
表:「その他」の内訳
※3:「その他」の内容について
「その他」の内訳は以下の通り。
表:「その他」の内訳

3.事故に対する主な注意事項等

【封入ミスに関して】
  • 前年度(平成24年度)に比べ、封入ミスの事故報告件数の割合は減少(17.6%→14.9%)しているものの、事故の原因としては依然多い。
  • 封入ミスには、大別して「機械作業における事故」と、「手作業による事故」があり、「機械作業における事故」の場合、機械の誤動作(トラブル)を発見(検出)できなかった場合、大量の誤封入となるケースがある。また、「手作業による事故」では、『相互入れ違い』のほか、他者宛ての送付物を誤封入するケースや送付対象ではない書類等を誤封入するケース等の『送付物間違い』がある。
  • 再発防止策としては(1)作業手順やルールの見直し、(2)具体的な作業手順の工夫、(3)作業環境の整備、(4)(従業者への)注意喚起・教育、(5)委託先の管理等が有効であるが、最終的には担当者自らが【ヒューマンエラーにより発生するもの】との認識を常に持ちながら、業務に臨むことが求められる。
    また、作業においての注意点・確認点をリストアップすることも事故防止につながるものと考える。
  • 機械トラブルに関しては、エラー処理を行って作業再開する際の、セットミスによるズレで、再開後作業分全てに誤封入が発生することもあり、事前の点検動作確認、作業時のサンプリング検査の徹底が重要である。
【ファックス誤送信に関して】
  • ファックス誤送信の事故報告件数は、件数・割合共に前年度とほぼ同様となっている。誤送信の原因として多いのは、「ファックス番号間違い」である。ファックス番号の聞き間違い、番号転記ミス、番号登録ミス等原因は様々であるが、各段階(各場面)での番号チェックの励行により、防ぐことのできる事故も多いと考える。
  • 近年、ファックス機能のほか、コピー、プリンタ及びスキャナ機能を備えた複合機での事故の報告もある。複合機によるファックス誤送信では、「スキャンを行うつもりが、操作ミスにより誤ってファックスを送信した」「PDF化の際に複合機から自身のPCへの送信処理を誤り、ファックスが誤送信された」「書類を複合機でコピーする際に、作業モードの確認を怠ったために、前使用者のモードにより誤ファックスされた」等がある。
  • 使い慣れないファックス機や、複数機能を備えた複合機を利用する場合には、事前に操作手順を確認する必要がある。また、操作時にどのようなミスが起きやすいのか、どのような事故が発生する可能性が想定されるのかということについてリストアップし、注意喚起を行ったり、複合機の近くに掲示することも事故防止策として有効と考える。
【宛名間違い等に関して】
  • 「宛名間違い等」は、誤送付の原因となる配送に関係する事務処理上のミス(宛名書き間違い、誤登録・誤入力等)及び、渡し間違いであり、前年度より件数・割合共に増加している(188件:13.0%→270件:16.6%)。
  • 当該事務処理上のミスは、確認不足、確認ミスによるところが多く、日常業務の中で、いつでも・どこでも・誰もが起こす可能性がある。特に、複数作業を同時進行で行っている場合、複数名分の作業(登録・発送業務等)を同時進行で行っている場合、担当者以外の者が臨時的に行う場合や業務に不慣れな者が行う場合等において、発生の頻度が高くなる。
  • また、作業における勘違いや思い込み、業務の慣れや過信による気の緩み・手抜き等が原因で、当初思いもよらない大きな事故に発展したり、初期対応のミスから、本人との間で対応に関するクレームになる場合もある。
  • 聞き取りミス、データ入力ミス・データ検索ミス、宛名ラベル貼付ミス等を極力無くすために、発送業務の各作業工程における間違い(ミス)の発生ポイントを再度検証すると共に、個人情報取扱いの重要性に関する継続的な教育の実施が必須と考える。
【盗難・紛失事故について】
  • 盗難・紛失事故の報告件数は前年度とほぼ同数であり、事故の原因として紛失が報告件数・割合共に最も多い状況である(404件、24.8%)。
  • 盗難・紛失の媒体別内訳は下記の表の通りであるが、前年度と同様に書類、携帯電話の紛失が多く報告されている。前年度に比べ携帯電話は件数・割合共に減少しているが(150件:34.3%→125件:28.1%)、書類は前年度と同様、報告の半数(52.6%)を占めている。
  • 携帯電話については、スマートフォンを含む件数となっているが、スマートフォンの場合、従来の携帯電話に比べ、パソコンに近い機能を持った情報端末であることから、大量の個人情報の保存が可能となり、事故等が発生した場合のリスクが一層大きくなっている。
  • 紛失・盗難による個人情報の漏えい対策として、リモートロックや遠隔消去等機能として対応できる対策のほか、機器を使用する従業者に対する教育が最重要課題であることの認識が必要と考える。
  • 外出時の紛失・盗難を防止するためには、個人情報持出に関するルール(持出の可・不可、持ち歩き・保管方法、その他注意事項等)を明確化し、周知徹底することが必要である。
盗難・紛失の媒体別内訳(平成23~25年度)
表:盗難・紛失の媒体別内訳(平成23~25年度)
  • (注1)盗難・紛失のカッコ内は事故報告件数。
  • (注2)盗難や紛失は、一つの事故で、複数媒体が関係することもあるので、合計と事故報告件数は合致しない。
    • (※1)その他の媒体:名刺(名刺入れ)、社員証、入館証(IDカード)、検体等。
    • (※2)バッグ類:個人情報の盗難・紛失の事故であるが、収納されていた媒体が不明のもの。
【内部不正行為について】
  • 「その他」の項目の中の『内部不正行為』は、前年度より報告件数は減少しているものの、重大事故に発展することもあるため、事故の原因としては要注意の内容である。
  • 内部不正行為への対策としては、
    1. 業務内容や責任範囲に即したアクセス権の見直しを行い、アクセス範囲および権限者を最小限にすること
    2. 権限を持つ者の不正行為の抑制のために、入退室記録、システムへのアクセスログ等の取得と、記録の確認を定期的に行うこと
    3. 内部での報告体制を明確にしておくこと
    等とあわせ、社会人としてのモラルや、仕事や役割に対する責任感、ルール違反を行った際に予想 される結果等についても教育を行い、個人情報保護の意識を向上させることが考えられる。
  • 『内部不正行為』防止については、独立行政法人情報処理推進機構(IPA)にて、「組織における内部不正防止ガイドライン」を公表しているので参考にして頂きたい。
<参考1>
平成17年度~平成24年度の「個人情報の取扱いにおける事故報告にみる傾向と注意点」については、こちらを参照してください。
<参考2>
プライバシーマーク付与事業者の皆さまへ
プライバシーマーク付与事業者専用サイトにある
「個人情報の取扱いに関する事故を発生させないために」(連載中)
を参考にしてください。