C社はダイレクトメール(DM)用の送付先情報(個人情報)をDVDに記録し、DMの送付を委託しているP社に直接持ち込んでいる。
DM推進部の社員Aから依頼を受けた事務部担当の社員Bは、事務部の課長の承認の元で送付対象者をシステムから抽出してDVDに記録した。
個人情報を記録したDVDを受取った社員Aは、委託先に持ち込む前に営業先に立寄った。
委託先が社員AからDVDを受取る際、封筒の中身を確認したところ、2枚のDVDが入っていたが、社員Aは事務部に3種類の条件で依頼していた為、DVDは3枚あるはずであった。
社員Aが事務部担当社員Bから封筒を受取った際に枚数を確認していなく、受取った時点で2枚だったのか、委託先を訪問するまでの途中で紛失したのかが分からなかった。
(個人情報抽出記録簿にも枚数の記載は無かった)
「今日の事例」は個人情報のDVDの受渡しがテーマです。
DVDやUSBなどの外部記憶媒体による情報の授受はまだまだ一般的に行われていますが、情報は移動する時に様々なリスクが発生しますので、細心の注意が必要です。
まず、問題となるポイントについて見てみます。
①抽出時の記録簿の管理項目不備
・情報を抽出した際、抽出内容とともに媒体の枚数も記録簿に記載する
②社内受渡し時の対応不備
・受渡時に内容を確認する
・社内受渡がある場合、媒体の数や抽出情報に関して記録を付ける
③情報の直接持込みの際の対応
・個人情報等の機密情報を持ち運ぶ際は、立寄りは厳禁とする
DVDによる情報の授受の過程での紛失事故はよくある事例です。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少しでも少なくする方法を考えてみて下さい。
今回の事例で、個人情報が入ったDVDを紛失してしまった結果はどうなるしょうか?
①個人情報保護法違反懸念
・個人情報を紛失した時点で官庁への届け出必要であり、個人情報保護法違反を問われる可能性があります。
②社外紛失の場合、住所を含む大量の個人情報が悪意のある第三者に渡ってしまう可能性あり
・個人情報流出による損害が発生した場合の顧客に対する損害賠償責任
・個人情報流出による会社の信用の失墜
③どこで紛失したか分からない為、社内・社外でDVDを探す必要あり
今回の事例は、事務部門と営業部門の間で情報授受が行われるような場合によくある事例です。
情報の管理は相手任せになりがちですが、渡す側も受取る側も「内容を確認する」という意識を持つことが大切です。ちょっとした確認漏れが大きな事故や被害に繋がる可能性がありますので、どのような工夫で確認漏れが防げるのか検討してみてください。