個人情報保護委員会の報道発表がありました。

「個人情報の保護に関する法律（以下「個人情報保護法」という。）第 143 条第１項の規定に基づく立入検査等の調査を実施した結果を踏まえ、令和４年９月 21 日に、個人情報保護法第 144条の規定に基づく指導を行った。」詳細はこちら　→　www.ppc.go.jp/news/press/2021/220921kouhou/

個人情報保護員会が行政指導を行ったのは、尼崎市で発生したUSBメモリの紛失事故を受け、業務を受託していた企業に対してです。

事故調査から、USBメモリに秘匿情報を含む大量な個人情報が保存されていること、紛失時に影響を考えない取り扱いだったことを問題としたようです。

具体的には、個人情報の取り扱いルールがあるにもかかわらず、尼崎市の委託業務では、組織的安全管理措置が行われなかったことを指摘。ルールを守らず勝手にUSBメモリに個人データを保存し、鍵のかからないカバンで持ち出したこと、利用後にデータを消去していなかったことを問題としています。

また、現場担当者が単独で判断して業務をすすめており、安全管理措置を行う組織体制ではなかったこと。入退室管理や保管キャビネットに施錠も行わず、アクセスを制限する仕組みも無く、委託や再委託先への監督もしていなかったことも問題としています。

このことから個人データを取り扱う受託事業において、組織的安全管理措置の実施の中で、管理規程や受託元との取り決めを踏まえ、ルールや管理体制の見直し求め、物理的、技術的安全管理措置や、責任者が再委託先などにおける個人データの取扱状況を適切に把握できるよう、モニタリングの強化を実施するようにと指導したとのことです。

昨今のセキュリティ対策は、マルウェアを忍び込ませランサムウェアで情報を盗んだり、暗号化する攻撃から守ることに主眼が置かれています。しかし日々の業務においてのリスクの把握とその制御とモニタリングは実施し続けること、そしてヒヤリとするような行為についてはモニタリング結果から再発防止となるような指導を組織内に続けることを忘れてはいけません。

クオリティソフトは、マルウェアやランサムウェア対策ソリューションに加えて、外部デバイス制御機能や、操作ログから情報の持ち出しをモニタリング分析するソリューションもクラウドからサービス提供しています。

組織の組織的安全管理措置の実施においては、ISMCloudOneの外部デバイス制御とISMLogAnalyticsが大きな力になると考えています。

It's only fair to share...
00