雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2024-151】厚生労働省 令和5年5月31日に終了した「都道府県の外国人用相談窓口」サイトのURLについて
【セキュリティ事件簿#2024-139】株式会社食品速報 当社公式Facebookページへの不正ログインに関するお知らせ 2024/4/8
当社が管理する一部の公式Facebookのアカウントが、2024年3月29日、第三者からの不正ログインが行われた事が判明いたしました。
これまでに個人情報の流出等、二次被害は確認されておりませんが、万が一、当社を装ったダイレクトメールや外部サイトに誘導するURLが付いた案内等が届いた場合は、開かないようご注意のほどお願い申し上げます。
現在、該当する公式Facebookページは停止しております。関係者の皆様には、ご心配をおかけしており誠に申し訳ございません。安全性が確認され次第、ページを再開する予定ですので、準備が整いましたら改めてお知らせいたします。
当社は今回の事態を重く受け止め、今まで以上にセキュリティ体制を強化し、再発防止を徹底してまいります。
【セキュリティ事件簿#2024-138】愛眼株式会社 当社X(旧ツイッター)アカウントへの不正アクセスの報告とお詫び 2024/4/9
メガネの愛眼公式X(旧ツイッター)アカウントが、2024年4月9日未明、第三者からの不正アクセスにより、乗っ取られていたことが判明しました。これまでに個人情報の流出等、二次被害は確認されていません。万が一「メガネの愛眼」を装った連絡や外部サイトに誘導するURLが付いたダイレクトメッセージ等が届いた場合には開かないようご注意願います。
X社には、乗っ取られた旨の報告と解決を依頼中です。最新状況につきましてはこちらのページにて公開してまいります。
関係者の皆さまにはご心配とご迷惑をおかけし、深くお詫び申し上げます。
当社は今回の事態を深刻に受け止め、再発防止を徹底します。
【セキュリティ事件簿#2024-136】株式会社DONUTS 当社事業サービスのX (旧ツイッター) アカウントへの不正アクセスの報告とお詫び 2024/4/8
株式会社DONUTSがX(旧ツイッター)に開設している「NEXT IDOL GRANDPRIX」 のアカウントが、2024年4月6日、第三者からの不正アクセスにより、乗っ取られていたことが判明しました。現在、当社の関知しない更新が確認されているほか、当社による更新が行えない状態となっております。
これまでに個人情報の流出等、二次被害は確認されていません。万が一「NEXT IDOL GRANDPRIX」を装った連絡や外部サイトに誘導するURLが付いたダイレクトメッセージ等が届いた場合には開かないようご注意願います。
X社には、乗っ取られた旨の報告と解決を依頼中です。最新状況につきましてはこちらのページにて公開してまいります。
関係者の皆さまにはご心配とご迷惑をおかけし、深くお詫び申し上げます。
当社は今回の事態を深刻に受け止め、再発防止を徹底します。
【セキュリティ事件簿#2024-128】株式会社イーアールアイ 不正アクセス被害によるスパムメール送信に関してのお詫び 2024/4/4
2024年4月2日、弊社のメールサービスを管理している運営会社様より連絡があり、弊社スタッフ1名のメールアカウントが不正アクセスの被害に遭い、当該アカウントがスパムメール送信の踏み台とされていたことが判明いたしました。
弊社のメールアドレスのドメイン: @erii.co.jpから不審なメールが届いていたら、本文中に記載のURLを開いたり、添付ファイルを開いたりせずに、メールを削除していただきますようお願いいたします。
- この不正アクセスによる他の情報漏洩被害について調査しましたが、現時点では確認されておりません。
- 当該アカウントのパスワード変更を行いました。
- 全社員でパスワードの使いまわしがされていないかを点検します。
ご迷惑をおかけしてしまった関係者の皆様には深くお詫び申し上げます。
【セキュリティ事件簿#2023-208】個人情報保護委員会 株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について 2024/3/25
個人情報保護委員会(以下「当委員会」という。)は、令和6年3月25日、株式会社エムケイシステム(以下「エムケイ社」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
1.事案の概要
2.事案の規模
(1) エムケイ社からの情報による本件システムの利用実績
(2) 当委員会が受領した漏えい等報告件数
3.エムケイ社が本件において個人データを取り扱っていたこと
(1) ガイドラインQ&A7-53 について
(2) エムケイ社とユーザとの間の利用規約
(3) エムケイ社における実際の個人データの取扱いの状況
- エムケイ社は、ユーザから本件システムの利用に関する調査・支援要請があった場合、両者の間で「個人情報授受確認書」(以下「授受確認書」という。)を取り交わした後、個人データを取り扱っていた。なお、令和5年上半期における、授受確認書によるエムケイ社の個人データ取扱い実績は、合計 20 件であった。
- 授受確認書には、「個人情報保護法を遵守し、下記目的達成の為に個人情報を授受します。」「媒体 お客様の委託データ」「授受の形態 保守用 ID によるデータ調査」などの記載がある。
- エムケイ社は、保守用 ID を有しており、これを用いて、本件システム上の個人データにアクセスすることが可能であった。
(4) 検討
ア 利用規約
イ アクセス制御
ウ エムケイ社がユーザに提供するサービスの性質
エ エムケイ社による個人データの取扱いの状況
オ 小括
(5) 補足
4.法律上の問題点
(1) エムケイ社について-安全管理措置(法第 23 条)の不備
(2) ユーザ(エムケイ社の委託元)について
(3) クライアント(ユーザの委託元)について
(4) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25
5.当委員会の対応
(1) エムケイ社
ア 法第 147 条の規定による指導
- 法第 23 条及びガイドラインに基づき、必要かつ適切な措置を講ずること。
- 再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
イ 法第 146 条第1項の規定による報告徴収
- 法第 146 条第1項の規定により、再発防止策の実施状況について、関係資料を提出の上、令和6年4月 26 日までに報告するよう求める。
(2) ユーザ及びクライアントについて
(3) 注意喚起
【セキュリティ事件簿#2024-096】NGM株式会社 弊社Googleアカウントの乗っ取り被害に関するご報告とお詫び 2024/3/4
このたび、弊社が管理・運用しておりますGoogleアカウントへの不正アクセスのため、弊社による当該アカウントの一切の操作が不能な状態となっておりますことをご報告申し上げます。
また本事案により、弊社がこれまでに主催、または顧客の皆様から委託等を受けて企画・運営しておりました各種大会・イベント等に関連するSNS等についても乗っ取られる被害が判明しております。
現在、二次被害は確認されておりませんが、万が一弊社や弊社の関係者を装ったダイレクトメッセージなどが届いた場合については、お取扱いにご注意いただきますようお願い申し上げます。
本事案における被害の内容や詳細な経緯等については鋭意調査を続けておりますが、現時点で判明している事実および弊社の対応につきまして、下記のとおりご報告いたします。
関係者の皆さまに多大なるご迷惑とご心配をお掛けすることとなり、深くお詫びいたします。
1.本事案の概要
弊社が管理・運用するGoogleアカウントについて、不明の第三者の不正アクセスによるログイン情報等の書き換えが行われていることが判明いたしました。
これにより、当該アカウントを通じたGoogle社提供の各サービス、当該アカウントをIDとするSNS等へのログイン及び一切の操作ができない状態となっております。
2.本事案により現在確認されている被害状況等
① 当該アカウントによるGoogle社の各サービスの利用・操作等が一切不能であるため、アカウント内の情報等について確認できない状況
② Xアカウント「AUTOBACS JEGT GRAND PRIX(@Jegt_GP)」の乗っ取り被害
③ YouTubeチャンネル「JEGT GP Official(@jegtgpofficial3702)」の乗っ取り被害
3.現在の対応
現在、二次被害の防止を最優先に、警察への相談、個人情報等情報漏えいの可能性を含む被害状況の確認、原因の調査、アカウント凍結・復旧に向けた対処を進めております。引き続き調査を進め、お知らせすべき内容が判明した場合は、速やかにお知らせいたします。
4.今後の対策と再発防止
弊社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、弊社における各種情報管理体制やセキュリティシステム等を強化し、再発防止に努めてまいります。
【セキュリティ事件簿#2024-083】横須賀市ホームページの閲覧障害について 2024/2/20
1.経過
昨日(2月20日)午後8時30分頃から、横須賀市のホームページが閲覧できなくなる障害が発生しました。
本日(2月21日)午前2時00分頃、復旧しています。
2.原因・影響
外部から「DDoS(ディードス)攻撃」というサイバー攻撃があったことによるものです。
「DDoS攻撃」とは企業や団体のウェブサイトやサーバーなどに大量のデータを一斉に送り続けることで大きな負荷をかけ、機能停止に追い込むサイバー攻撃の1つです。
なお、本件による個人情報等の情報漏えいや、ページの改ざんはありません。
3.今後の対応
対応策をホームページ保守事業者と早急に協議します。
【セキュリティ事件簿#2024-072】スタンレー電気株式会社 当社アジア大洋州グループ会社における資金流出事案について 2024/1/31
このたび、当社のアジア大洋州グループ会社におきまして、悪意ある第三者による虚偽の指示に基づき資金を流出させる事態が発生致しました。
当社及び当社アジア大洋州グループ会社は、資金流出発覚後まもなく、指示が虚偽であることに気づき犯罪に巻き込まれた可能性が高いと判断し、弁護士等による対策チーム体制を組織の上、関係各国の捜査機関に対し被害の報告を行いました。捜査に全面的に協力するとともに、流出した資金の保全・回収手続きに全力を尽くしております。
また外部弁護士3 名にて構成される調査委員会を組成いたしました。事実関係の調査と原因究明、再発防止策の提言等を行い、再発防止に努めていきます。
加えて調査結果に基づき、管理監督も含めた社内関係者の処分に対しても検討してまいります。
株主の皆さまを始め多くの皆さまにご迷惑とご心配をおかけすることとなりましたこと、深くお詫び申し上げます。
なお、本事案に伴い発生する損失につきましては、当連結会計年度に特別損失として計上する予定です。
【概要】
損失見込額: 最大 約 34 億円(本年 1月 31 日時点)
発生時期: 2023 年 12 月上旬から2023 年12 月中旬
本件につきましては、捜査上の機密保持のため、現時点ではこれ以上の詳細の開示は差し控えさせていただきます。
今後、捜査に進展があり、開示すべき事項が発生した場合には、速やかに開示させていただきます。
ご理解とご了承のほど宜しくお願い申し上げます。
【セキュリティ事件簿#2024-069】株式会社スリー・ディー・マトリックス 送金詐欺による資金流出被害のお知らせ
株式会社スリー・ディー・マトリックス(本社:東京都千代田区、代表取締役社長:岡田淳)は、2023 年 12 月下旬から 2024 年1月上旬にかけて、取引先を装った複数のメールによる虚偽の支払い指示に応じ、当該取引先の真実の銀行口座と異なる銀行口座に対して誤って代金を支払ってしまう送金詐欺による資金流出被害が生じたことが判明しましたので、お知らせいたします。
1.被害の内容
① 2023 年 12 月 19 日以降年末にかけて、2023 年 12 月末に支払いが予定されていた約 86 万US ドルの原料代金支払いについて、取引先(以下、「A 社」という)の名を騙ったメールで支払口座の変更の依頼(以下、かかるメール送信者を「犯人」という)があり、これに応じて虚偽の銀行口座に代金を支払いました。
② 2024 年1月初旬、別の代金支払について同じく A 社の名を騙ったメールにより支払いの要請があり、この要請の一部の 50 万 US ドルの支払いに応じることにしましたが、かかる支払いについても再度別の銀行口座に支払うよう指示があり、この虚偽の銀行口座に対して支払いました。
2.被害発生の背景
(1)2023 年 12 月の誤送金について
(2)2024 年1月の誤送金について
3.その後の経緯
4.現時点で判明している事実
5.個人情報漏洩の可能性
6.再発防止策
7.業績への影響
【セキュリティ事件簿#2023-416】個人情報保護委員会 株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する 個人情報の保護に関する法律に基づく行政上の 対応について 2024/1/24
第1 事案の概要
多数の民間事業者及び地方公共団体等から委託を受け株式会社 NTT マーケティングアクト ProCX(以下「ProCX 社」という。)が行っていたコールセンター事業に関し、コールセンター業務で用いるシステムの保守運用を同社から委託された NTT ビジネスソリューションズ株式会社(以下「BS 社」という。)に所属し、システム保守運用業務に従事していた者が、委託元の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより、漏えいした事案である。
第2 詳細な対応内容等
1 事案の詳細及び法律上の問題点
「(資料1-2)株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について(詳細資料)」(以下「詳細版」という。)を参照。
2 ProCX 社に対する対応
⑴ 個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 148 条第1項に基づく勧告
⑵ 法第 147 条に基づく指導
⑶ 法第 146 条第1項に基づく報告等の求め
過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。
3 BS 社に対する対応
⑴ 法第 148 条第1項に基づく勧告
⑵ 法第 147 条に基づく指導
⑶ 法第 146 条第1項に基づく報告等の求め
過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。
【セキュリティ事件簿#2024-068】NTTコミュニケーションズ株式会社 当社の利用終了パソコンに関する一部のSNS投稿につきまして 2024/1/20
本日、一部のSNSにて、中古パソコンを購入後、Windows設定時にNTTコミュニケーションズ株式会社(以下 NTT Com)の設定画面が表示される件についての投稿がございましたが、当社におけるパソコン利用終了時のサーバー上の設定情報の削除漏れの影響であることを確認いたしました。
パソコンを購入された方にはご迷惑、ご心配をおかけしたことをお詫び申し上げます。なお、本件に伴う当社が取り扱う情報の漏洩はございません。
1.発生事象
当社の利用終了パソコンを中古にて購入後、Windows設定時にNTT Comの設定画面が表示される事象が発生しております。
2.原因
NTT Comの社用パソコンにおいては、従業員がWindows設定を実施するために、各端末のハードウェアIDをMicrosoft社サーバーに登録し、起動時に自動的に社内向けのセットアップが出来るようにしております。
社用パソコンの利用終了時には、社用パソコン内のファイルや設定情報については全て削除した上で利用終了していますが、Microsoft社のサーバーからハードウェアIDを削除すべきところ、この削除が一部漏れておりました。
該当のパソコンにおいて、Windows設定時にNTT Comの社名が表示されますが、ログインはできず、また当社が取り扱う情報も残存していません。
3.対応状況
当社にてサーバー上のハードウェアID削除の作業を順次進めております。ハードウェアID削除完了後、NTT Comの設定画面は表示されなくなります。
【セキュリティ事件簿#2024-065】島根県が使用していたドメインを第三者が再取得し、別のホームページに使用していることを確認しました 2024/1/15
島根県が過去に使用したドメイン(ホームページアドレス)について、運用停止後にオークションサイトでの売買等により、第三者に再取得されていることが判明しました。
これらのホームページに係る事業は既に終了しており、下記ドメインを使用したホームページは、本県とは全く無関係ですので、ご注意ください。
1第三者に再取得されたドメイン(県の事業は終了しています)
・syokujusai-shimane2020.jp(第71回全国植樹祭しまね)【林業課】
・gotoeat-shimane.jp(GoToEatキャンペーンしまね)【しまねブランド推進課】
・shimane-goen.jp(ご縁の国しまね)【観光振興課】
・shimane-ninsho.jp(島根県新型コロナ対策認証店認証制度)【薬事衛生課】
・smalruby-koshien.jp(スモウルビー・プログラミング甲子園開催事業)【産業振興課】
・shimane-monodukuri.jp(しまねものづくり人材育成支援Navi)【雇用政策課】
2県の対応
・上記1に掲載のドメインへリンクを張っているウェブサイトの管理者へ削除を依頼
・県民等への周知
・庁内へドメイン管理の注意事項を周知徹底
【セキュリティ事件簿#2024-054】個人情報保護委員会 株式会社四谷大塚に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/29
個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 29 日、株式会社四谷大塚(以下「四谷大塚」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
1.事案の概要
本件は、中学受験のための学習塾を運営する四谷大塚において、令和4年4月~令和5年8月まで勤務していたXが、在職中に、A校舎に通う小学生児童(以下「在校児童」という。)の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Xの私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。)をXの SNSアカウントに掲載して漏えいさせた事案である(以下「本件漏えい事案」という。)。
2.事実関係
(1) 事案発覚の経緯
四谷大塚は、令和5年8月 10 日、メディア関係者から、Xが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Xから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム(以下「本件システム」という。)について、Xのアクセス権を停止するとともに警察に通報した。
(2) Xによる在校児童の個人データ持ち出しの態様
(3) 当委員会に対する漏えい等報告の提出の状況
四谷大塚は、当委員会に対し、法第 26 条第1項の規定に基づき、令和5年 10 月6日付けで漏えい等報告書(速報)を提出し、同月 13 日付けで漏えい等報告書(確報)を提出した(個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第7条第3号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告)。
3.法律上の問題点-安全管理措置(法第 23 条)の不備
法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。
四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人(令和6年1月1日現在)の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。
こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。
本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。
(1) 組織体制の整備及び漏えい等事案に対応する体制の整備が不十分であったこと
(2) 取扱状況の把握及び安全管理措置の見直しが不十分であったこと
(3) 小括
4.指導等の内容
(1) 法第 147 条の規定による指導
- 個人データの安全管理措置を講ずるための組織体制を整備すること。
- 漏えい等事案の発生又は兆候を把握した場合に、個人情報保護委員会に対し適切かつ迅速に対応するための体制を整備し、法の改正などに応じて適宜見直すこと。
- 個人データの取扱状況を確認するために、定期的に監査を実施すること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し(必要に応じて見直すことを含む。)、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。また、その遵守状況の確認を定期的に実施すること。
(2) 法第 146 条第1項の規定による報告等の求め
- 指導に係る改善措置の実施状況について令和6年5月 31 日(金)までに関係資料を添付の上、報告するよう求める。
【セキュリティ事件簿#2023-327】個人情報保護委員会 長野県教育委員会に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/21
1.事案の概要
2.漏えいしたおそれのある保有個人情報とその本人数
3.法律上の問題点
(1) 外部からの不正アクセスの防止の不徹底(技術的安全管理措置の不備)
(2) 漏えい等の安全管理上の問題への不十分な対応(組織的安全管理措置の不備)
4.指導等の内容
【セキュリティ事件簿#2024-036】モイ株式会社 当社サーバーに対する外部攻撃に関するお知らせ
1 本件の概要
2 今後の対応
3 業績への影響
【セキュリティ事件簿#2023-483】三愛病院 個人情報漏洩疑いの報告
【セキュリティ事件簿#2023-480】株式会社おお蔵ホールディングス 弊社グループ会社OKURAの Instagram公式アカウントに関するお詫びとご報告
【セキュリティ事件簿#2023-479】京都教育大学附属桃山中学校 サポート詐欺による公用パソコン遠隔操作被害について
1 概要
2 事実経過
事案発生、管理職へ報告、管理職・職員による当該パソコンのネットワーク接続遮断
京都教育大学 CSIRT による調査開始
調査結果としてファイル等の流出がなかったこと、他のパソコン及びサーバーへのアクセスはなかったことを確認
【セキュリティ事件簿#2023-396】個人情報保護委員会 青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について
個人情報保護委員会(以下「当委員会」という。)は、令和5年 11 月 29 日、青森県上北郡野辺地町(以下「野辺地町」という。)における個人情報等の取扱いについて、野辺地町長に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 157 条に基づく指導等を行った。
1.事案の概要
本件は、野辺地町健康づくり課において、同課で使用していたUSBメモリ(以下「本件USB」という。)が紛失し、本件USBに記録されていた町民に関する保有個人情報の漏えいのおそれが発生した事案である。
2.漏えいしたおそれのある保有個人情報とその件数
本件により漏えいしたおそれのある保有個人情報は、氏名、生年月日、性別、住所、健康診断結果及び新型コロナワクチン接種履歴等であり、本人数は 12,856 名である(本件が発覚した時点で死亡していた者 547 名を除く。また、健康診断結果が漏えいした本人数は 51 名である。)。
3.個人情報保護法上の問題点
(1) 電子媒体等を持ち運ぶ場合の漏えい等の防止の不徹底(物理的安全管理措置の不備)
野辺地町では、本件USBを定められた場所に保管していたものの、当該保管場所の施錠が行われていなかった上、本件USBには、パスワード等によるアクセス制御も行われていなかった。
(2) 個人情報の取扱状況を確認する手段の整備の不徹底(組織的安全管理措置の不備)
野辺地町では、保管場所からのUSBメモリの持ち出し、返却に関する管理台帳を作成しておらず、USBメモリの取扱状況について確認できる適切な手段が整備されていなかった。
(3) 漏えい等安全管理上の問題への不十分な対応(組織的安全管理措置の不備)
野辺地町から当委員会に漏えい等報告(速報)が提出されたのは当該事案の発覚後 28 日目であり、当委員会への速やかな漏えい等報告が行われなかったことから、個人情報保護法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。
4.個人情報保護法第 157 条に基づく指導及び第 156 条に基づく資料提出等の求めの内容
(1) 個人情報保護法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。
(2) 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。
(3) 再発防止策の実施状況について、関係資料を提出の上、令和5年 12 月 28 日(木)までに説明するよう求める。