システムの設定ミスで誤送付【Pマーク取得の基礎知識】
個人情報を委託する場合というのは、委託が発生しない場合よりも格段に個人情報管理のリスクが高まります。個人情報の処理に関連するシステムの開発・管理を業務委託している場合についても同様のことが言えます。このような事情があるからこそプライバシーマーク(Pマーク)では委託先の管理を徹底することが要求されているのです。
個人情報や個人情報処理にかかわる委託業務を正しく管理していないと思いもよらない事故が発生します。以下のニュースはしばしば目にする個人情報の誤送付に関するものですが、特徴として委託先で保守しているシステムのエラーに起因して誤送付が発生しているという点があります。
事故の経緯
宮崎県川南町が平成29年11月30日に送付した書類で誤送付があったという内容です。ふるさと納税を申し込んだお客様のうちワンストップ特例申請をした方に川南町が受付書を発送したわけですが、その中に本人とは異なる別の人の受付書が同封されていました。
今回の誤送付に関係する個人情報は171件で、そこに記載されていた個人情報の項目は氏名や住所であるとのことです。送付先の1件から「別の人の書類が届いている」との連絡が入ったことをきっかけに誤送付が発覚したとのことです。プライバシーマーク(Pマーク)においては個人情報の漏えいに当たる事故です。
原因の一つはシステムの設定ミス
今回の事故の原因の一つはシステムの設定ミスです。川南町ではふるさと納税管理システムを導入しており、そのシステムの保守を業者に委託していました。今回の事故が発生する直前にシステムの改修を実施したようですが、その際の設定ミスによって送付すべき書類と宛先にずれが生じ、違う人の個人情報が含まれた書類が封入されるとことなった経緯です。
また書類の封入作業がシステム化されていたため、実際に発送する段階において川南町側でも書類の誤りに気づくことがなかったということです。
システム改修後のテストは厳重に
システムの改修を委託先で実施している場合、プライバシーマーク(Pマーク)を取得して個人情報保護に努めている会社であっても改修後のシステムに問題ないかが十分に確認できていない場合があるかもしれません。つまりシステムに関することは専門的な部分なので完全に“委託先任せ”になってしまうというパターンです。
しかしプライバシーマーク(Pマーク)が要求する委託先の監督の中には、委託先の業務内容を自社で点検し、また場合によっては委託先で実施した点検の結果を報告させるということも含まれます。
まとめ
今回の事故におけるシステム改修の委託は厳密にはプライバシーマーク(Pマーク)でいう個人情報の委託とは異なるかもしれませんが、それでも委託先管理の原則に基づき、システムを更新した後は必ず委託先でテスト運用させ、そのテスト結果の報告を提出させることが必要なのではないでしょうか。
今後の是正処置としてはそのような委託体制の見直しとともに委託元におけるチェック体制の見直しも必要となってくると思われます。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
