BLOG

ブログを掲載しています。

個人情報保護委員会 USBメモリ紛失 BIPROGYに行政指導

尼崎市で発生したUSBメモリの紛失事故を受けて、
個人情報保護員会が、尼崎市から業務を受託していたBIPROGYに対し、
個人情報保護法にもとづく行政指導を行なったとのことです。

ppc_b1.png
(個人情報保護員のHP→https://www.ppc.go.jp/news/press/2021/220921kouhou/

◆過去blog
  尼崎市 全市民46万人分の 個人情報入りUSB紛失
 https://plug-in01.com/topics/archives/151


今回の指導の原因となる事実については、
以下のように記載されています。

ppc_b2.png

①個人情報保護法第23条(安全管理措置)
 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止
 その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

 個人情報保護法第25条(委託先の監督)
 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、
 その取扱いを委託された個人データの安全管理が図られるよう、
 委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 →大きくこの二つに関して問題あり!ということですね。

②組織的安全管理措置が適切に講じられていない
 
 →これは、細かくいろいろ書いてありますが、
  ざっくり言うと、個人データの取扱いに係る規律が全然機能してないですよ!
  (全く遵守されていない(させていない))
  ということを指摘されています。

③リスクに応じて必要かつ適切な措置を検討するための体制がない

 →これもなかなか根本的な指摘をされてますよね。
  結局②にも関連しますが、全般的な規律・ルールがあったとしても、
  具体的な案件によっていろいろなリスクがあるのに、
  (特に今回の案件なんてとってもリスクが高いはず)
  現場担当者任せになっていたのが問題。

④物理的・技術的安全管理措置が適切に講じられていなかった
 
 →入退室管理や施錠保管などは、基本中の基本ですが、
  それが実施されていなかったということ。

⑤再委託先の監督を適切に行なっていなかった。

 →再委託先の従業者に任せっぱなしになっていて、
  具体的な指示も行わず、報告も求めていなかったとのこと。

ということで、①に抜粋した通り、
安全管理措置と委託先の監督が最重要課題として挙げられています。

今回の件は、個人的にはやはり一番は、
委託先の監督が肝でしょうね。
おそらくこの案件に限らず、
BIPROGYは自治体案件をたくさん取り扱っていますし、
それらの作業を再委託先に委託することも多いのだと思います。
そうなると、こういう事故が起こらないように、
どこまでしっかりと監督できるか?が重要になりますよね。

さて、ここで、皆さん不思議になりますよね?
委託先の監督が重要ならば、
一番大元の尼崎市はどうなんだ?!と思いませんか?

個人情報保護委員会がBIPROGYだけに行政指導して、
尼崎市に指導しないのは、
自治体が個人情報保護委員会の管理下に入るのが、
令和5年の4月からだからなのです。(今は対象外)
それ以降は、自治体も官公庁も同じように指導されることになるので、
民間企業だけでなく自治体の方々もこれらの指導内容を参考に、
対策の見直しをされることをお勧めします。

2022/09/22   小塚 真紀子
< 前の記事     一覧へ     後の記事 >