九州地方整備局 山国川河川事務所が発注した事業損失事後調査業務(受注者:東亜建設技術(株))において、受注者の業務従事者が発注者から貸与された調査に必要な個人情報が含まれた資料を紛失する事案が発生しました。
紛失した資料には、個人2名の住所及び氏名等並びに個人17名の氏名等が記載されています。
関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。
○事案の内容
令和5年1月17日(火)に事業損失事後調査業務受注者の業務従事者が、現地調査を実施中に発注者から貸与された個人情報が含まれた資料を紛失し、同日に遺失物として最寄りの警察に届出られたものです。
○ 対応状況
同資料に個人情報の記載のある方に対しては、事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等の第三者への流出、不正利用等の事実、二次被害は確認されておりません。
○ 今後の対応
九州地方整備局においては、同様の事案の再発防止に取り組んでいる中で発生したことを重く受け止め、更なる個人情報等の管理の徹底に関して、受注者への指導に迅速かつ万全を期してまいります。
電子カルテから保存した55名分の患者ID、氏名、治療実施日、病変の存在箇所、病変の進行度等のデータです。
USBメモリは、医師自身が管理しており、令和5年1月5日(木)に使用したことは確認しています。1月 13 日(金)に、USBメモリを使用しようとしたところ見当たらないことに気づきました。原則、院外へ持出しをしませんので、診療部、看護部等の関係者全員で1週間程度、当該医師の診察室内や関係病棟内等、あらゆるところを探しましたが見つからず、現在も発見に至っておりません。このため、1月 27 日(金)に明石警察署へ遺失届を提出いたしました。
USBメモリに医療情報が保存されていた可能性のある患者さんには、お詫びとご報告の文書を1月 27 日(金)に郵送させていただきました。また、電話もしくは対面でのご説明もさせていただいております。
電子カルテからデータを取込む場合は、システム管理室が貸出す暗号化されたUSBメモリを使用することとし、USBメモリの使用が終わった後は、データを消去し、システム管理室にUSBメモリを返却することにします。システム管理室は返却のあったUSBメモリのデータ消去を確認します。また、このような事態を重く受け止め、全職員に対し、今回の経緯を踏まえ、改めて個人情報の適正管理方法の周知徹底を図ります。
引き続きUSBメモリの捜索に尽力します。
2022 年 9 月 24 日(土)
プライムツリー赤池SC管理事務所
3.紛失したお取引先従業員様の情報
2019 年 9 月以降にプライムツリー赤池にて従業員登録をされた、テナント従業員の皆様、ならびに警備・清掃・設備保守・インフォメーション・会計業務・販促業務等を委託しておりました協力会社様の従業員の皆様の「氏名」「ユーザID」「所属番号」「資格情報」「ID番号」
お取引先様よりお預かりしている従業員の皆様の個人情報は「氏名」「生年月日」「性別」となります。紛失したUSBメモリ内には、このうち氏名のみが記載されたデータを保存しており、当該データからは勤務先を知ることはできません。このデータは館内の電子錠を開錠するためのセキュリティーカードの発行に使用しておりました。その他の情報は以下の内容となります。
「ユーザID」:登録作業順で付番される8桁の数字
「所属番号」 :区画ごとに設定されている3桁又は4桁の数字(来店客には非公開)
「資格情報」 :どの扉を開錠する権限があるかを示す2桁の数字
「ID番号」 :過去発行して、作成時点で使用していないカードの番号(8桁)を付番
4.紛失した個人情報の数
最大 3,274 名
このうち、2022 年 10 月 2 日時点でプライムツリー赤池に在籍している 1,654 名の従業員の皆様へは、お取引先店舗責任者様を通じてご報告とお詫びをさせていただいております。同日付で在籍していない最大 1,620 名の従業員の皆様については、上記3.記載の通り当方にて個別のご連絡先等を把握していないことから「プライムツリー赤池の公式サイト」「セブン&アイ・クリエイトリンクのコーポレートサイト」への公表をもってご報告とお詫びとさせていただきます。
2022 年9月 24 日(土)、弊社従業員が、セキュリティーカードの作成業務を行う際、当該業務専用PC(オフライン仕様)へのデータ移行用のUSBメモリが所定の保管場所に無いことに気づきました。その後弊社従業員による捜索並びに関係者からの聞き取りなどを、数度に渡り行いました結果、発見に至らず紛失したものとの判断にいたりました。
なお、これまでに当該個人情報が不正に利用された事実は確認されておりません。
6.発生原因
7.再発防止策
このたびの事態を厳粛に受け止め、再度全社員に個人情報の厳格な管理を改めて指導・徹底してまいります。
セキュリティーカードの作成業務においては、業務フローを見直しUSBメモリ等の外部媒体の使用を禁止致しました。
その他業務におけるUSBメモリ等の外部媒体の使用についても、管理体制の再構築とデータの保存や消去に関するルールの再徹底を行い情報管理の一層の強化を図ります。
9月21日(水):当社営業施設管理部署の社員が、2005年ごろに導入した当該パソコンのリース契約更新をしようとしたところ、紛失が判明。直ちに当該パソコンの使用用途と所在の調査を開始しました。
10月7日(金):使用用途を調査した結果、当該パソコンは「なんばCITY従業員証」の作成用として導入し、従業員証作成ソフトがインストールされており、ソフト用データとしてテナント従業員の個人情報が保存されている可能性があることが判明しました。
(1) USB メモリ1個(2) 対象期間:2011年1月27日~2022年7月10日(3) 対象店舗: THE COSMETIC TERRACE BlueStripe ルミネ横浜店(4) 対象者: カネボウ化粧品の商品をご購入のうえ、メーカー顧客システムへご登録を頂いたお客さま ※1
(5) 件 数: 11,147件 (氏名のみ 1,762件)
(6) 記録されている個人情報:
氏名、性別、生年月日、住所、電話番号、メールアドレス、購入履歴
(クレジットカード情報は含まれておりません )
※1 メーカーからの商品不良のご連絡など、 必要な情報をお客さまにご連絡差し上げる目的で、個人情報削除のお申し出がございました場合でも顧客管理システム上お申し出から一定期間したのちに顧客情報を消去する取り扱いとしております為、 (1) の媒体に保存された顧客情報には、既に個人情報削除のお申し出をされているお客さまの顧客情報も含まれております。なお、 その他のメーカーならびにブランドをご購入、 ご登録頂いたお客さまについては、紛失の可能性がないことを確認しております。
7月10日 (日) THE COSMETIC TERRACE BlueStripe ルミネ横浜店、 最終営業日。7月11日 (月) 撤去作業を実施。お客さまデータ移行作業の為、 全データをUSB メモリへ保存。7月12日 (火) 同USBメモリをカネボウ化粧品担当者から弊社店長へ受け渡し。(閉店作業に忙殺されるあまり、 その後のUSBメモリの保管取り扱いについて失念)7月20日 (水) お客さまからお問い合わせを受ける。購入履歴を検索する為には、 USBメモリが必要であることを知る。7月21日 (木) USBメモリ捜索も、 想定していた保管場所になかった為、この時点で紛失が発覚。7月22日 (金) 警察ならびに交通機関各所へ届出。捜索ならびに関係各者より状況聴取。7月28日 (木) 個人情報保護委員会へ報告。お客さまへの個別通知に必要となる連絡先を確認する為に、 カネボウ化粧品担当者へバックアップデータの復旧を依頼。8月 2日 (火) カネボウ化粧品担当者立ち合いのもと、 バックアップデータを復旧。8月15日(月) 対象のお客さまへ、書面でのご連絡ご説明を開始。書面到着に合わせ、 弊社ホームページへ掲載。