尼崎市USBメモリ紛失事案を受け、個人情報保護委員会が注意喚起

2022年7月13日、個人情報保護委員会は6月に発生した尼崎市の業務委託先等におけるUSBメモリ紛失の事案を受け、改めて個人データの取り扱いに関する注意喚起を行いました^※1。個人情報の適正な取り扱いとして、個人情報の保護に関する法律（平成15年法律第57号）に則り、下記の3つの点について言及しています。

（１）安全管理措置について（法第23条）

個人情報取扱事業者が取り扱う個人データの漏えい等の防止や安全管理のための具体策が記載されています。（個人情報保護法ガイドライン（通則編）10-3、10-5）^※2

個人データをUSBメモリ等電子媒体において取り扱う場合は、盗難又は紛失等を防止するために、施錠できるキャビネット又は書庫等の定められた場所で適切な管理を行う。
個人データをUSBメモリ等電子媒体において持ち運ぶ場合も、業務上必要な場所に限るなど適切な管理を行う。
容易に個人データが判明しないよう、暗号化、パスワードによる保護等を行った上で保存する、施錠できる搬送容器を利用するなどの安全な方策を講じる。
安全管理措置を定めた社内規程等に従った運用の状況を確認できるよう、電子媒体の持ち運びの状況等を記録する。

（２）従業者の監督について（法第24条）

個人情報取扱事業者が従業者に個人データを取り扱わせる場合は、（１）安全管理措置を遵守するよう、当該従業員に対して適切な監督を行うことを喚起しています。（個人情報保護法ガイドライン（通則編）3-4-3） ^※2

（３）委託先の監督について（法第25条）

個人情報取扱事業者が個人データの取扱いの全部又は一部を委託する場合は、委託先が（１）安全管理措置と同等の措置を講じるよう監督を行うことが記されています。また、委託先が再委託を行おうとする場合の注意についても喚起されています。（個人情報保護法ガイドライン（通則編）3-4-4） ^※2

委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行う。
委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して法第25条の委託先の監督を適切に果たす。
再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認する。
再委託先が再々委託を行う場合以降も、再委託を行う場合と同様。

【所感】

（１）に安全管理措置として挙げられている物理セキュリティと技術的対策、人的対策は同時に並行して行われることが求められており、どれか一つを実行すれば安全という訳ではありません。個人データを外部へ持ち出すことがどうしても必要となる際は、どれだけ気を付けていても置き忘れなどが発生するものです。万一の流出に備えて、技術的対策の一つである暗号化を弊社は強くお勧めしております。

しかしファイルにパスワードが設定されていても、推測できるような文字列であったり総当たり攻撃で解読できてしまうことから、安全性に不安を感じる方も多いかと思います。そんな方にはパスワードではなく『DRM/IRM (Digital/Information Rights Management)』システムによる暗号化がお勧めです。DRM/IRMはファイルを暗号化するだけでなく、閲覧、更新、印刷……などの利用権限を制御することにより、利用者の権限を必要最小限に絞ることができます。また、漏洩やファイルの不正使用が疑われる場合には、直ちに権限はく奪をすることも可能です。

ご興味のある方は、是非こちらから資料をご請求ください。