初歩的ミスが情報漏洩を引き起こす――JIPDECが事故報告取りまとめ

JIPDECがプライバシーマーク認定事業者や申請中の事業者から受けた報告によると、2005年度に発生した個人情報の取り扱いにおける事故は382社、554件だった。

[ITmedia]

　日本情報処理開発協会（JIPDEC）がプライバシーマーク認定事業者および申請中／申請検討中の事業者から受けた報告によると、2005年度に発生した個人情報の取り扱いにおける事故は382社、554件だった。中でも、誤配送など初歩的な原因による紛失／漏洩の多さが目立ったという。

　一連の事故のうち、プライバシーマーク認定事業者から報告された事故は168社、190件。2004年度の51社、53件に比べ大幅に増加した。

　個人情報の取り扱いにおける事故全体の96％に当たる532件が「紛失・漏洩」だ。原因の中で最も多かったのは、誤配送や誤封入、誤送付、印刷ミスといった初歩的なミスによるもので、396件、全体の71.5％に上った。次に多いのは盗難によるもので84件（15.2％）。うち置き引きなどによるものは51件、車上荒らしによる盗難は33件という。

　また、電子メールの配信ミスによる漏洩は44件（7.9％）となっている。ファイル交換ソフト「Winny」を介して情報を漏洩させるウイルス感染による流出は8件（1.4％）報告された。

　JIPDECでは、初歩的ミスに起因する事故が多いことに関して、リストや名簿などの紙媒体、電子データが入った磁気媒体のような個人情報の集合体についてはかなり徹底した管理が行われている一方で、「伝票や伝票の控え、申込書類など、個別の個人情報が記載された書面についてのリスク認識が甘い」と指摘。また、誤配送などについては、ルールの周知徹底だけでなく、発生原因を究明した上での根本的な対応策や個人情報の重みを認識した対応／措置が必要だとしている。

　なお、一連の事故の中には、外部委託先や代理店、子会社などで発生したものも103件（18.6％）含まれていた。JIPDECは「外部委託先での事故は、原則として委託元が全責任を負うことを認識すること」とし、委託先管理をルール化し、具体的な指導などを実施するよう求めている。