【セキュリティ事件簿#2023-138】大阪市 保健所における個人情報等を含むデータの持ち出し等について 2023年3月30日


大阪市保健所に勤務する派遣職員が、自宅での業務学習目的のために、個人情報を含むデータを、許可を得ずに自身が所有する端末(以下、「個人用端末」という。)に送信するなど不適切な事務をしていたことが令和5年2月14日(火曜日)までに判明しました。

このたびの事案が発生したことにつきまして、関係者の皆様にご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1 概要と事実経過

令和5年2月3日(金曜日)に、大阪市保健所で新型コロナウイルス感染症入院医療費公費負担関係業務を行う派遣職員が、様式を変更した資料で業務を行っていることに大阪市保健所職員が気付いたことから、当該派遣職員へ事情聴取するとともに、業務用端末のメール送信状況を調査しました。

調査の結果、当該派遣職員が自宅での業務学習目的のため新型コロナウイルス感染症にり患された方のデータを、持ち出しの許可を得ず個人用端末にメール送信していたことが、令和5年2月6日(月曜日)に判明しました。(当該派遣職員以外に外部へのデータ送信がないことを確認しています。)

また、令和5年1月25日(水曜日)に当該派遣職員が同様の目的で、新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)(以下、「ハーシス」という。)に、個人用端末からログインし、PDFファイルをダウンロードしていたことも、令和5年2月14日(火曜日)に判明しました。

2 データに含まれる個人情報等

個人の名前、生年月日、性別等を含む保健所内で取り扱う個人情報で、件数は次のとおりです。
  • メール送信した個人情報:17,914件
  • ハーシスからダウンロードした個人情報:最大3件
3 判明後の対応

判明後すぐに本市と派遣元事業者とが協議し、派遣元事業者において、当該派遣職員から個人用端末の提出を受けたうえで、第三者へのデータ流出がないこと、データが完全に削除されるなど、今後データの利用が不可能な状況にあることの調査を実施することとしました。

本調査は令和5年3月中旬まで実施され、3月28日(火曜日)に派遣元事業者から、「個人用端末について、外部の専門業者に調査を依頼した結果、また、当該派遣職員が利用するクラウドサービス上の調査について当社において調査した結果、いずれも第三者への送信は確認されず、データも残存しないことから今後データの利用が不可能な状態であることを確認した。」と報告書の提出がありました。また、報告書よりハーシスからダウンロードしたPDFファイルは3件のみであることを確認しました。

なお、当該派遣職員については、令和5年2月7日(火曜日)以降、本市への派遣はありません。

4 原因

当該派遣職員の個人情報等の取り扱いに関する認識が不十分であり、個人での業務学習目的のため、業務用資料データを持ち出しの許可を得ずメール送信したことが原因です。

また、ハーシスのログインについて、2次認証のアクセス者を目視で確認のうえ認証していましたが、適切にできていませんでした。

5 再発防止について

派遣元事業者により派遣職員全員に対して、個人情報保護に関する研修を実施しました。本市からも改めて、個人情報をはじめとする業務用資料は職場外への持出厳禁である旨、周知徹底を図りました。また、業務用端末からメールを送信できないように制限をしました。

加えて、ハーシスのログインの認証を行う職員に対し、2次認証の重要性を改めて周知するとともに、目視によるアクセス者の確認に加え暗証番号の伝達による認証を行うこととし、これまで以上にアクセス者の確認を徹底しました。