第６章個人情報漏洩の実態 (1) 業界団体における把握状況（電話及び訪問ヒアリングより）平成 17 年 12 月から平成 18 年 1 月にかけて行われた業界団体への電話・訪問ヒアリングでは、業界における事業者の事故発生状況の把握についてについて設問項目を設けている。全体的な傾向としては、マスコミに掲載された事例や業界の人脈の中で流れてきた事故事例の情報をランダムに認識している程度であり、体系的な情報収集と一定のストックと整理が行われている団体は認定個人情報保護団体となっている業界団体程度であった。また、認定個人情報保護団体になっている業界団体についても、その役割・責務としての事件事故情報の情報の収集は行っているが、認定団体となって間もないことや会員事業所数も少ないためか、わずかな件数という状況であった。なお、業界団体ヒアリングおいて把握した事件事故等の把握状況は下表の通りである。また、中小企業においては、事件事故の公表については、なるべく回避したい意向が強く、マスコミに掲載されるような大きな事件事故でなければ、公表や監督官庁への報告はせずに穏便に処理したいはずであるといった声も見られた。いずれにしても、現状では中小企業における事件事故の発生と対応の状況を体系的に把握することは、かなり難しいことであることが推察される。図表 3−3 業界団体ヒアリングにおける事件事故等の把握状況業界団体名（社）日本自動車販売協会事件事故の把握状況認定団体として役所に報告するため事故状況は把握している。公表する予定はない。連合会小さな事故が多く、悪意で多数の情報をハッキングされたような事故は発生していな（認定個人情報保護団体）いと把握。事故として件数が多いのは「名前の入った書類を紛失してしまう」といった小さな情報漏洩。（社）全国学習塾協会特に調査していない。来年度にはやりたいと思っている。ただし、現在の正会員約 670 社に対して事業者は５万と言われており、業界の組織率は 10-20％（１社 10 教室（事業所と想定））くらいであり、アンケートをやっても回収されない危惧がある。過去に日能研で外部講師による情報漏洩があったと記憶している（故意によると記憶）。福岡の件（九大進学ゼミ講師の私物パソコンからの情報流出）は、事業者によれば、現在イントラネット等の構築中で次年度からは稼働予定という時期であり、不運な面もあるが、自主規制やガイドラインの主旨が徹底されておらず、結果的に管理面がずさんであったことは否めない。（社）日本エルピーガス連合会（社）不動産流通経営協会各県の協会にアンケートは採った。しかし、各県の協会でも把握していないようであったため、成果はほとんどなかった。体系的に収集していない。ただし、事故件数は非常に少ないと思う。 −123− 特に把握はしていないが、比較的風通しは良いので、情報はある程度入ってくる。（社）日本ダイレクトメール協会当協会は、加盟団体が通販のみならず、保険、広告代理店、印刷と他業種にまたがっており、業界団体という性格ではないため、一斉的な調査はやりにくいと考えている。中小事業者では、車上荒らしで個人情報の入った PC を盗難されたという事例を知（社）全国宅地建物取引業協会連合会っているが、個人情報保護法に関して特殊な管理策を検討することに役立つような事例ではないと捉えている。事故については、国交省には相当数報告があるらしいが、主に大手業者の小さな事故がほとんどではないか。また、各都道府県の宅建協会に無料相談所があるので、問題が多ければ、連合会にもあがってくる仕組みになっているが、今のところ特にあがってきていない。 (2) 内閣府による調査内閣府国民生活局が平成 17 年 11 月に発表した「個人情報保護用の施行状況について（平成 17 年度上半期）」では、事業者からの個人情報漏洩事案（平成 17 年度上半期）を下表の通りとしている。個人情報の漏洩件数は 894 件であり、省庁別では金融庁(409 件、45.7％)、経済産業省 (336 件、37.6％)が多く、この 2 省庁で 83.3％を占める。漏洩した情報の種類は、顧客情報が 98.9％とほとんどを占める。また、漏洩した情報の種類について、うち基本情報(氏名、生年月日、性別、住所) のみが流出したものは 5.4％とわずかであり、ほとんどの情報漏洩は、基本情報以外の情報（センシティブな情報も含まれる可能性がある）とともに漏洩している。漏洩元、漏洩した者の内訳は、事業者が 77.9％、委託者が 21.4％となっている。また、漏洩原因は、不注意（677 件、75.7％）に対して意図的な漏洩（165 件、18.5％）と不注意が 3／4 を占めている。また従業者による意図的な漏洩は 6 件(0.7％)にすぎないが、第三者によるものはすべて意図的な漏洩である。事業者による改善措置の内容については、組織的対策（安全管理責任者の設置、社内規定の整備、教育・研修の実施、監査の実施等）が 91.2％に対して技術的対策（ファイアウォールの構築、情報漏洩防止ソフトウエアの導入、個人データへのアクセス状況の監視等）は 11.2％とわずかであり、事故の要因が技術的な要素よりも組織的な要素によるものが圧倒的に多いことが伺える。これは漏洩原因が不注意による漏洩の割合が高いことにも通ずるものがある。 −124− 図表事業者からの個人情報漏えい事案の状況（平成 17 年度上半期）漏えいした人数府省名件数漏えいした情報の種類府省名件数漏えいした人数顧客情報 −125− 金融庁 409 総務省 62 法務省 3 財務省 4 文部科学省 7 厚生労働省 36 農林水産省 28 経済産業省 336 国土交通省 86 合計 971 合計 894 (重複分を除く) (100.0%) 500人 501〜 5,001〜 50,001人以下 5,000人 50,000人以上 172 87 117 31 45 3 6 1 3 0 0 0 4 0 0 0 5 0 2 0 22 8 6 0 20 7 1 0 297 31 6 2 78 6 2 0 646 142 140 34 583 133 135 34 (65.2%) (14.9%) (15.1%) (3.8%) 不明 2 7 0 0 0 0 0 0 0 9 9 (1.0%) (注)漏えいした人数とは、漏えいした個人情報によって識別される特定の個人の数をいう。漏えい元・漏えいした者府省名件数件数従業者事業者第三者金融庁 409 総務省 66 法務省 3 財務省 4 文部科学省 7 厚生労働省 37 農林水産省 29 経済産業省 341 国土交通省 87 合計 983 合計 894 (重複分を除く) (100.0%) うち基本情報のみ 8 9 0 0 0 0 0 28 5 50 48 (5.4%) 408 59 3 4 7 33 27 329 83 953 884 (98.9%) 漏えいした情報の種類従業員情報その他の情報うち基本うち基本うち基本情報のみ情報のみ情報のみ 8 0 0 1 0 9 5 0 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4 0 0 0 0 2 0 0 0 28 10 0 2 0 5 3 0 1 0 50 24 0 6 0 48 22 0 4 0 (5.4%) (2.5%) (0.0%) (0.4%) (0.0%) (注)1.基本情報とは、氏名、生年月日、性別、住所を指す。 2.一つの事案で複数の情報が漏洩した場合は、全ての項目について記入。 3.合計欄の( )内は、全体の件数に対する割合を指す 4.表中の「うち基本情報のみ」は、基本情報のみ漏えいした事案の件数(内数)及び漏えい事案全体に対する割合。その他不明件数従業者委託先第三者不明その他不明件数意図的不注意不明件数意図的不注意不明件数意図的不注意不明件数意図的不注意不明金融庁 409 375 364 1 348 15 4 4 0 0 0 7 32 26 0 26 0 5 5 0 0 0 1 2 総務省 62 29 24 2 22 0 3 3 0 0 0 2 30 18 1 17 0 7 7 0 0 0 5 3 法務省 3 2 2 0 2 0 0 0 0 0 0 0 1 1 0 1 0 0 0 0 0 0 0 0 財務省 4 4 1 0 1 0 3 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 文部科学省 7 5 3 0 3 0 2 2 0 0 0 0 2 0 0 0 0 1 1 0 0 0 1 0 厚生労働省 36 35 26 0 26 0 9 9 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 農林水産省 28 26 18 0 18 0 7 7 0 0 1 0 2 2 0 2 0 0 0 0 0 0 0 0 経済産業省 336 205 136 2 133 1 62 62 0 0 1 6 130 108 0 108 0 21 21 0 0 0 1 1 国土交通省 86 80 33 1 30 2 44 44 0 0 0 3 6 3 0 3 0 3 3 0 0 0 0 0 合計 971 761 607 6 583 18 134 134 0 0 2 18 203 158 1 157 0 37 37 0 0 0 8 7 合計 894 696 555 5 532 18 122 122 0 0 1 18 191 146 1 145 0 37 37 0 0 0 8 7 (重複分を除く) (100.0%) (77.9%) (62.1%) (0.6%) (59.5%) (2.0%) (13.6%) (13.6%) (0.0%) (0.0%) (0.1%) (2.0%) (21.4%) (16.3%) (0.1%) (16.2%) (0.0%) (4.1%) (4.1%) (0.0%) (0.0%) (0.0%) (0.9%) (0.8%) (注)合計欄の( )内は、全体の件数に対する割合を指す資料；内閣府国民生活局「個人情報保護法の施行状況について（平成 17 年度上半期）」 −125− 事業者による改善措置府省名件数金融庁総務省法務省財務省文部科学省厚生労働省農林水産省経済産業省国土交通省合計合計 (重複分を除く) 409 62 3 4 7 36 28 336 86 971 894 (100.0%) 事業者による改善措置安全管理対策 406 57 3 4 7 36 28 336 85 962 885 (99.0%) 374 50 3 4 7 36 27 336 82 919 843 (94.3%) 組織的技術的 372 14 46 15 3 0 4 4 7 2 36 13 26 3 315 42 80 18 889 111 815 100 (91.2%) (11.2%) 改善措置その他の実施せず対策 395 50 3 4 7 33 26 334 83 935 862 (96.4%) 2 0 0 0 0 0 0 0 0 2 2 (0.2%) 不明 1 5 0 0 0 0 0 0 1 7 7 (0.8%) 所管省庁等による対応個人情報その他の保護法に対応基づく対 2 0 0 5 0 0 0 1 0 0 1 3 0 0 0 0 0 0 3 9 2 9 (0.2%) (1.0%) −126− (注)1.表中の「組織的」安全管理対策とは、安全管理責任者の設置、社内規定の整備、教育・研修の実施、監査の実施等を指す。「技術的」安全管理対策とは、ファイアウォールの構築、情報漏洩防止ソフトウエアの導入、個人データへのアクセス状況の監視等を指す。「その他の対応」とは、詫び状の送付、専用窓口の設置、カードの差し替え等を指す。 2.「安全管理対策」と「その他の対応」は複数回答。 3.合計欄の( )内は、全体の件数に対する割合を指す資料；内閣府国民生活局「個人情報保護法の施行状況について（平成 17 年度上半期）」 −126− (3) 新聞記事検索、ＷＥＢサイト検索による事例収集本来、本章においては、中小企業の事件事故事例について抽出することを目的としているが、以下に本章節に示す調査においては、収集できた事例のほとんどが大企業のものであり、中小企業事例の抽出は事実上不可能であった。ただし、事例の中には大企業の系列の販売代理店、F.C といった中小企業性を含む事例や公立の学校、病院などの事例もあり、中小企業にとっても参考になると考えられる。 A.事件事故に関する検索件数インターネットには個人情報関連の情報を収集・整理したサイトがいくつか存在し、個人情報漏洩事故に関するニュースが整理・掲載されている。例えば、日経ネットの IT-PLUS におけるセキュリティーのサイト（ http://it.nikkei.co.jp/security/index.aspx ）、ヤフーニュースの個人情報の流出（http://dailynews.yahoo.co.jp/fc/domestic/customer_information/）、IT 保険ドットコムの個人情報漏洩事件一覧（http://www.it-hoken.com/cat_aeieoieioeie.html）等である。また、日経テレコンの新聞記事検索（対象は日本経済新聞朝刊。同一事件事故の重複掲載や事件事故以外の記事も含まれる、かなりその割合は高い）において、「情報漏えい OR 顧客情報流出」を検索キーワードにした 17 年度上半期のヒット件数は 119 件、「個人情報 AND 流出 OR 紛失 OR 漏洩」のヒット件数は 245 件となっている。いずれも前掲した内閣府の調査による事業者の情報漏洩件数（894 件）よりも大幅に少ないが、これは主な情報源がマスコミやインターネットからによるためと考えられる。これらか見ると、現状では内閣府のデータが最も充実している可能性が高い。 B.検索事例における事件事故の内容次に上記の事件事故についてその内容を見る。A.における新聞記事検索（「個人情報 AND 流出 OR 紛失 OR 漏洩」のヒット件数 245 件）において、各新聞記事の見出しに含まれる用語から事件事故の内容を類推する。見出しに「紛失」が含まれる件数は 26 件（10.6％※245 件を分母とする。以下、％については同様）。「盗難」が含まれる件数は 6 件（2.4％）、「不正アクセス」が含まれる件数は 5 件（2.0％）となっている。前掲した内閣府における調査では、漏洩原因は、不注意（677 件、75.7％）に対して意図的な漏洩（165 件、18.5％）と不注意が 3／4 を占めている。「紛失」については不注意によるものと捉えることができる。「不正アクセス」については、ほぼ意図的と捉えることができる。「盗難」については、対象が鞄、PC 等の場合、必ずしも個人情報を目的にしていない可能性がある場合も多く、一律に意図的と言えない場合もあるが、どちらかといえば第三者による意図的な漏洩と捉えることができる。新聞記事検索等の結果は、総件数には事件事故以外の検索結果が含まれるため、総件数におけるパーセンテージは、内閣府の調査に比べて低くなる。また、規模の小さい紛失事 −127− 故は新聞に掲載される確率も下がると考えられる。一方、盗難や不正アクセスは紛失に比べると刑事事件性もあり、新聞に掲載される確率は上がると考えられる。このような要素を勘案すると、不注意（＝「紛失」）と意図的（＝「盗難」、「不正アクセス」）として捉えると、その比率は内閣府の調査と比べて妥当と考えられる。 C.個別事例に対する詳細調査 A.の新聞記事検索等の結果から、B.の見出しの用語により分類した事件事故の事例について、企業のサイトにアクセスすることにより情報を収集し、ケーススタディとして整理する。なお、以下の事例の選択に当たっては、極力、事故のバリエーションの網羅性の確保に努めること、大企業の系列の販売代理店、F.C といった中小企業が関係する可能性が高いものを重視することを念頭において行った。 a.紛失紛失については、内部管理における誤廃棄、外出先や現場における置き忘れ・落とし物といった要因とされているが、紛失物の発見や拾得者からの連絡がない限り、実際の状況は不明である。また、当然のことではあるが、紙媒体に比べて CD-ROM やフラッシュ・メモリ等の電子媒体の紛失の場合、漏洩する情報件数は格段に多くなっている。いずれにしても、これらの事例からは、ネットセキュリティといった技術的な管理策よりも、個人情報とそれを含む媒体の管理策の徹底（紛失に気づかないことがないようにすること）。営業等の外出における個人情報の持ち出しは最小限にとどめるといった、組織的な管理策のなかでも基本的な事項の遵守を徹底することが重要である。図表 3−4 紛失の事例詳細漏洩経緯対応策企業名概要漏洩件「株式会誤廃棄任意保社ホンダ（未裁険証券プリモ新断で廃控（紙）生年月日、電話番号、車種、車輌登録番号、車台番号、初度お詫び。福岡」中棄） 157 件登録、車検完了日、証明書番号、保険の契約内容、保険の保販売店共々管理体制険期間、保険料が記載されていた。の強化に努める。（本数央営業所平成 17 年 3 月 28 日、お客様の「任意保険証券控」などの当該期間のお客様にコピー29 名分が同封された投書があり、お客様の氏名、住所、販売会社より報告・販売会社での調査の結果、上記 29 名分 29 枚を含む「任意保険証券控」など 157 名分が裁断処理しないまま廃却されて田技研工業（株）で対応）いた可能性があった。お客様情報の不正使用等の事実は確認されていない。 http://www.honda.co.jp/news/2005/c050405.html 大阪ガス社外に領収書大阪ガスは、株式会社ヤマキにガス料金等の収受、ガスの株式会社て紛失控（紙）開閉栓等の業務を委託している。（業務委（原因 26 件託先は株不明）９月７日から該当されるお客さまを個別９月６日にヤマキの作業員が、「領収証」（１冊 50 部綴り。）に訪問し、事情説明を持ち、社有車で顧客先数件を訪問、予定作業終了後、事務式会社ヤ所へ帰社し書類の確認を行ったところ、当該「領収証（控）」マキ）（領収証（控）には、お客さまの情報として氏名、住所、ガ −128− とお詫びした。スのご使用番号、領収日、領収金額、件名が含まれている）を紛失していることに気がついた。直ちに、当日の経路、事務所内、車中および駐車場を捜索するとともに、所管の警察署に遺失届を提出いたしましたが、現時点で発見には至っていない。紛失したお客さま情報が外部に流出し利用された事実は確認されていない。 http://www.osakagas.co.jp/Press/pr05/050908_2.htm みちのく誤廃棄銀行お客さま情報が記録された CD−ROM(バックアップ用)3 今後、本件 CD-ROM ROM3 枚が行内で紛失していることが判明（お客さま情報：氏名、（バックアップ用）枚住所、電話番号、生年月日、年齢、預金残高、貸出金残高なを各部へ送付するこ約 131 ど）。となく、事務システ CD − 万件紛失が明らかになったのは 4 月 20 日(水)。搬送ルートを遡ム部で一括管理するると 4 月 12 日(火)から所在不明となっていると考えられる。こととした。それ以降、探索を続けているが、発見されていない。誤って廃棄した可能性が高いと認識。パスワード等によるセキュリティ対策を講じているため、お客さま情報の漏えい懸念は極めて低いものと考えている。現在のところ二次被害等の事実は確認されていない。原因は行内における部門間の情報関連電子媒体の授受確認が不明確で、相互牽制機能が働かなかったことによる。 http://www.michinokubank.co.jp/news_release/20050422_ 03/ 佐賀県庁立寄先フラッ当該職員は、９月 23 日午前１時過ぎに業務を終え帰宅す 10 月 13 日に警察での紛シュメる際、９月 24 日の教員採用候補者選考試験に使用する可能に紛失届けを提出。失モリ性があると判断し、フラッシュメモリをセカンドバッグに入教員採れ持ち出した。関係者（2，119 人）に事故経緯等の説明用試験当該職員は、９月 23 日午後５時頃さが健康ランドに行っ及び謝罪と二次被害受験者た際に、フラッシュメモリを入れたままのセカンドバッグをの注意喚起のための（1,606 持ち歩いた。（その際紛失）信書を 10 月 16 日ま人分）等当該職員は、10 月１日にフラシュメモリを使用するため、でに発送。セカンドバッグの中を見て入ってないことに気づき、10 月３日まで心当たりを探したが見つからず。 17 日、教育庁内各課長に口頭で、教育 10 月３日正午過ぎにフラッシュメモリを拾得した旨匿名事務所長にはメールの男性から電話があり、当該職員に確認したところ、紛失しでプライバシーポリたことが判明。当日、この男性からこの他２回電話があり、シー及び行動プログ拾得した場所（さが健康ランド駐車場）や 10 月６日に会うラムの周知徹底を図こと、そのために 10 月４日に連絡してもらうことを約束しる。 10 月 15 日から教た。その後、男性から連絡はない。 http://www.pref.saga.lg.jp/portal/public/WH/FWHM0000A 職員課に相談窓口を設置。 ction.do b.誤送付・プログラムミス誤送付については、大半は電子メール、FAX の送付先を誤りといったものであるが、システムのプログラムミスにより他人の個人情報が閲覧可能となるといったものや宅配業者 −129− のミス（宛先ラベルの二重添付）の事故も発生している。電子メールについては、日常的で瞬間的なワンクリックの作業・動作の誤りにより、送付先の秘匿等大きなミスが発生する上、FAX 等に比べて一度に大量の誤送付を発生させる可能性が高い。誤送付については、メールソフトの設定やシステムプログラムなど可能な限り技術的な管理対策を行った上で、その使用方法や作業における注意の徹底など組織的な管理対策が重要になる。図表 3−5 誤送付・プログラムミスの事例詳細企業名概要漏洩件東京電力ﾒｰﾙｱﾄﾞﾒｰﾙｱﾄﾞﾚｽの誤送信漏洩経緯対応策数東京支店品川支社では、送信先のメールアドレスを表示し送信先にお詫びﾚｽないように設定すべきところを、誤って氏名及びメールアドのメールを送信。流 170 件レスが互いに知りうる状態で 170 名に送信。出防止のために誤翌日に送信先のお客さまからご指摘を受け、確認したとこ送信メールの削除ろメールアドレスを表示した形で送信したことが判明。をお願い。個別に電 http://www.tepco.co.jp/kaifuku/kojin/jishou/05081801-j.html 話連絡を行い、お詫びとご説明。茨城銀行 Fax の平成 17 年 3 月 31 日、お客さまの外国送金依頼書 3 件(送金誤送信依頼人さまおよび受取人さまの住所、氏名、口座番号、送金金額等が記載)を外為事務委託銀行宛ファックス送信。その際に、ファックス番号を誤入力したために、誤送信となった。平成 17 年 4 月 4 日、誤送信した相手さまより電話による苦情の申し出となり、情報流出したことが判明。誤送信した相手さまからの電話での苦情受付の中で、書類回収のために住所をお尋ねしましたが教えていただけず、さ送金依頼人には直接訪問しお詫び。ファックス送信時における行内ルールの再整備を進めており、4 月中旬には体制が整う見通し。らに、相手さまのファックスには非通知設定がなされており特定することができていない。現在も誤送信先の特定に全力をあげておりますが、当該依頼書が回収不可能となることが予想される。 http://www.ibagin.co.jp/news/2005/0413/index.htm トヨタ自ﾌﾟﾛｸﾞﾗ 500 件トヨタ自動車が開発し、全国トヨタレンタリース店のリース動車株式ﾑﾐｽに（閲覧のお客様が使用する TCM サポート（車両管理 WEB システム）てしまったお名前会社より、されたにおいて、入力した車両データの一部が、他のお客様から閲他人の可覧可能となる不具合が発生していたことが判明。個人情性）能閲覧可能となっ等は既に削除済み。プログラムのミこの不具合は、お客様に再リースいただいた契約について、スについてもすで報が閲お客様にてご入力いただいた運転者名、駐車場情報等のデー覧可能タが、旧契約のデータから新契約のデータに引き継がれる際、となるプログラムの作成ミスが原因で、誤って他の契約データに引に修正済み。き継がれてしまったことにより発生した。 http://www.toyota.co.jp/announcement/050810.html 株式会社宅配便 DVD 通信販売において、お客様に 8 月 5 日より宅配便で商 8 月 11 日付のおソニー･の宛先品をお届けする際に、一部の方に宛先ラベルが二重に貼られ詫びとお知らせ（弊マガジンラベルた状態で発送してしまった。社ホームページ／不明 −130− ズを二重（配送業に張る http://www.sonymagazines.jp/popup2.html メール／文書）。 8 月 20 日から順務を佐川次、宛先ラベルを回急便に委収と再生不可能な託）形での破棄。委託先に作業行程の注意と改善を促し、委託先の作業監督を強化。 c.winny による流出 winny（ファイル共有ソフト）による個人情報の流出が相次いでいる。これは winny がインストールされた PC（個人＆企業所有）のにおいて、個人情報を含む業務用のファイルを使用し、その情報がネットワークを介して漏洩するものである。概して、企業では規則等において、個人所有 PC の業務における利用は禁止されており、企業所有の PC に許可なくソフトウエア（winny 含む）をインストールすることも禁止されているはずである。問題は規則の徹底とともに社員が業務を遂行する上で実質的にそれが確保できるようになっていることである。図表 3−6 winny による流出の事例詳細企業名概要漏洩件漏洩経緯対応策数九大進学 winny ゼミ（運による 4941 件営は（株）流出校舎責任者が私的に所有するパソコンがウィルスに感染 ①個人所有パソコし、同パソコンを会社の業務に流用していたため、パソコンンの「会社への持内にある個人情報を流出させた。ち込み禁止」と「会ご迷惑をおかけしたご家庭に対してはお詫びと説明をさせﾋｭｰﾏﾝﾈｯﾄﾜｰｸ）社業務での使用禁ていただくとともに、２次的な被害の発生についても確認さ止」せていただいておりますが、現在まで、第三者による個人情 ②個人情報を取り報の不正利用等の事実は確認されていない。扱うパソコンの社流出件数は 4941 件（うち 4640 件は氏名・学年・校舎名、外持ち出し禁止学費が記載、301 件は、電話番号・住所等、個人の家庭を特（個人情報を取り定できるデータが含まれる、この 301 件のうちテスト結果・扱うノート PC の九州電力〃不明通知表の結果等の成績が含まれているものが 99 件、口座番廃止）号が流出している情報が 23 件） ③新イントラネッ http://kyushin.acz.jp/051226.pdf トの早期導入平成 17 年 9 月、当社社員の個人パソコンから，ウイルス感染により Winny ネットワーク上に火力発電プラントに関する技術資料等が流出していたことが判明。流出した情報は，火力発電所の技術資料，出張報告書及び社内手続きの記入要領書と資料に記載されていた個人情報。 http://www1.kyuden.co.jp/press_h050916-1 −131− 再発防止に全力で取り組む所存。 d.盗難（車上荒らし、不法侵入）盗難については、車上荒らしの件数が多くなっている。盗難については、PC データの暗号化等技術的な管理対策も必要であるが、それ以前に営業等の外出における個人情報の持ち出しは最小限にとどめ、必ず身の回りに携帯するといった基本的な組織的な管理策やお客様が出入りするような場所には個人情報を保管しないといった物理的対策の確立と遵守を徹底することが重要である。図表 3−7 盗難（車上荒らし、不法侵入）の事例詳細企業名概要漏洩経緯漏洩件対応策数常陽銀行盗難（車対象顧平成 17 年 9 月 20 日（火）23 時頃、利根支店の営業係の上荒ら客は 56 行員が同僚と竜崎市内の飲食店で飲食後、乗り着けた自家用し）先（うち車の代行を頼んで帰宅しようとしたところ、車助手席側後部お客様の情報の個人 32 の窓ガラスが割られており、後部座席に置いていた鞄が盗難厳格な取扱いを継名）されているのを発見。直ちに、警察に届け出するとともに、続的に教育し、再発当行で近辺を捜索したが、現在まで未発見。防止に努める。個別に報告し、お詫び。情報の内容は会社名（氏名）、住所、取引状況（預金、貸出金）、所在地を印した住宅地図等。なお、許可なく顧客情報を持出すことは規定違反。 http://www.joyobank.co.jp/ 17 件埼玉県保盗難（車平成１７年８月３１日、児玉福祉保健総合センター職員該当者にお詫び。健医療部上荒らが、母子寡婦福祉資金償還事務実施のため出張し、最後に、早急に地域機関し）母子寡婦福祉資金の就学資金貸付者の様子を見に立ち寄ろの所長を招集し、管うとした。(11:20 頃) 理のあり方の徹底相手方自宅前は狭く、車が止められないため、近くの薬局を指示する。駐車場を拝借した。何も買わないのは気が引けたため、薬局へ立ち寄り買い物をした。買い物後車の側を通ったところ、車上荒らしに遭い、ケースとバックを盗まれてしまったことに気づく。持っていた書類についてはケースに入れ、私用のバックとともに車内に置いたが、外から直接見えないように布で覆っておいた。ただちに、警察に連絡した。(11:30 頃) http://prosv.pref.saitama.lg.jp/scripts/news/news.exe?mode =ref&yy=2005&mm=8&seq=255 7 月 12 日未明、東京都町田市のコスモ石油系列特約店のサ直ちに管轄警察えービスステーション店頭において、クレジットカードでお買に被害届を提出。対 152 件い上げいただいたお客様の伝票控え（合計 152 件）の盗難事象ｶｰﾄﾞﾎﾙﾀﾞｰのお客件が発生いたしました。様を全員特定し、連コスモ石盗難（店伝票控油頭）伝票上には氏名、カード番号、有効期限などの情報が記載。絡。個人情報の不正 http://www.cosmo-oil.co.jp/press/p_050713/index.html 利用を未然に防ぐ手続きを実施。 −132− 9 月 11 日夜半から 9 月 13 日未明にかけて、同社春日店がクレジットカー事務所荒らしの被害に遭い、金庫が抉じ開けられて、現金やド会社各社に連絡岡株式会使用済み領収証などと共に保管されていたお客様のクレジを取り、万一にもお社ットカードご利用に係るカード売上票（カード会社用）が盗客様にカード不正まれる。利用などの被害がトヨタカ盗難（不ローラ福法侵入）不明カード売上票（カード会社用）には、お客様のお名前（自発生することのな筆サイン、アルファベット表記）、ご利用いただいたクレジいように万全の対ットカードの会員番号・有効期限、ご利用金額などが記載。策を依頼。直ちに筑紫野警察署に被害届けを提出し、捜査を開始してもらった結果、９月 20 日犯人逮捕。 http://www.tns.ne.jp/tcfsaiyo/corolla_f/tounan/index.html ミサワホ盗難（不ーム東海法侵入）株式会社 34 件平成 17 年６月 15 日（水）午前 3 時頃、委託先の警備会社お客様には、既に事より弊社分譲地内事務所のガラスが割られ、何者かが不法侵実関係の報告及び入したとの通報あり。すぐに社員が事務所まで向かい確認謝罪。し、ノート型パソコン２台、社員本人所有の鞄１つが盗難。警察署に盗難届けを提出いたしました。鞄については、６再発予防は以下の通り。月 15 日（水）午前６時頃に発見され、24 件分のお客様情報（１）会議用資料かが含まれていたファイルは全て回収できた。ら個人情報に関連 34 件のお客様情報には、氏名、住所、建築地、請負金額、する項目を削除。勤務先等の内容が含まれていた。なお、コンピュータシステ（２）ノート型パソムを管理するセクションから６回に亘って個人情報対応のコンの保管場所及通達を発行しておりましたが、今回の事務所では「パスワーび保管方法など、盗ド化」「暗号化」が未処理だった。難対策を行う。 http://www.misawa-toukai.co.jp/info/050620.html （３）「起動パスワード」設定とデータの「暗号化」等の再徹底。（４）システム担当にて全パソコンの状況調査と、適切な指導を実施。（５）さらなるセキュリティ技術の導入の検討。 −133− e.不正アクセス不正アクセスについては、外部の第三者の対策のみならず、従業員等の内部の人間に対してもネットワークシステムの強化など技術的管理対策が重要である。図表 3−8 不正アクセスの事例詳細企業名漏洩経緯対応策概要漏洩件従業員個人情による報の流情報流出が確楽天市場の取引情報であると判明したものの全てが、すで新顧客情報管理体制出認されにご報告済みの店舗（株式会社センターロード、店舗名：（個人情報のうち、数楽天 7 月 22 日にマスコミからの情報提供により、警察当局へ相談すると共に事態の確認と調査を開始。お詫びのご連絡をメールにてご案内。たのは、 AMC）のものであることを確認。クレジットカード番 36,239 件なお、10 月 27 日に当該店舗の元従業員が逮捕。また、漏号、メールアドレス洩経緯は明確に記述されていないが、システムが店舗は取引が店舗側では見られ情報（含むカード情報）をダウンロードにより取得可能にななくする等）の導入。っており、それに利用して当該元従業員が情報を引き出したと見られる。 http://www.rakuten.co.jp/com/faq/information/20050723.ht ml 株式会不正ア 5,124 社ワコクセス件ールによる 11 月 7 日、ワコールオンラインショップご利用のお客様か 11 月 17 日より 2 月ら、インターネット上でのクレジットカード不正使用につい 7 日までワコールオてお問い合わせがあり、調査を開始。ンラインショップの 11 月 17 日、これらのクレジットカードの不正使用とワコ流出ールオンラインショップのお客様に関連があると判断し、データ流出経路の特定作業を実施。 11 月 18 日、サーバーに外部からの不正アクセスの形跡を発見。ワコールがインターネットショッピングシステムの運サービスを停止。個別にお詫びとお知らせ。カスタマーセンターのフリーダイヤルにて対応。用業務を委託しているＮＥＣネクサソリューションズ株式会強化策の実施後、社が管理するサーバーに外部からの不正アクセスがあり、顧第三者によるセキュ客データが流出したことが判明。リティ診断を行うこ流出したデータは、注文番号、クレジットカード番号、有効とで安全を確認。期限、お客様番号、住所、電話番号が含まれる。なお、不正アクセスをした者の特定に関する情報は掲載されていない。 http://www.wacoal.co.jp/owabi0511/index4.html （1）2005 年 3 月 27 日、6 月 27 日に顧客情報を対象としたガンホ不正ア 550 件ー・オンクセス（3/27）データ（ID のパスワード、メールアドレス、秘密の質問、ライによる 502 件ン・エン情報改（6/27）に関しましては、改ざんの事実はない。ターテざん各種ﾊﾟｽﾜｰﾄﾞ変更。お客様へ状況報告と秘密の答え等）の改ざん。クレジット情報を含む「信用情報」お詫び。問い合わせ顧客情報データがダウンロードされていた痕跡が確認されな窓口の設置。技術担当役員等 3 イメンかったこと、第三者から流出の指摘がこれまでになされてい名を譴責処分。ト株式ないことなどから、当該顧客情報が流出した可能性は現時点再発防止策として、会では極めて低いものと判断。 ①ルール厳格化、重なお、改ざんした者を最終的に特定はできず。要情報取扱い部署の http://www.gungho.jp/important/2005_10_13.asp 物理的なｾｸﾞﾒﾝﾄ分け等の運用面の対策。 −134− ②ｾｷｭﾘﾃｨﾎﾟﾘｼｰ制定と厳格な運用、教育、監査、委託選定基準の見直し等制度面の対策 ③アクセス許可ルート、管理 ID/パスワードと管理者区分の見直し、データベースへのアクセスログ確認とデータの整合性チェック実施の強化等ネットワークシステム面の対策 (4) 事故事例調査のまとめヒアリングによる業界団体の把握状況は概して事故事例の情報をランダムに認識している程度であった。ヒアリングをした認定個人情報保護団体の業界団体でも、認定団体となって間もないことや会員事業所数も少ないためか、把握しているのはわずかな件数であった。このような点から現状では中小企業における事件事故の発生と対応の状況を体系的に把握することは、かなり難しいと考えられる。一方、内閣府による調査では、事業者からの個人情報漏洩事案（平成 17 年度上半期）の件数は 894 件となっており、漏洩原因は不注意 75.7％、意図的な漏洩 18.5％と不注意が 3／4 を占めている。改善措置は組織的対策（安全管理責任者の設置、社内規定の整備、教育・研修の実施、監査の実施等）が 91.2％に対して技術的対策（ファイアウォールの構築、情報漏洩防止ソフトウエアの導入、個人データへのアクセス状況の監視等）は 11.2％とわずかとなっている。また、新聞記事やインターネットの検索による事例調査によると事件事故の内容は、誤廃棄等による紛失が最も多く盗難や不正アクセスは少ない。不正アクセスについては技術的管理対策が重要であるが、それ以外は個人情報保護に限らない基本的な組織的管理対策の遵守を徹底が重要である。誤送付については、メールソフトの設定やシステムプログラムなど可能な限り技術的な管理対策を行った上で、その使用方法や作業における注意の徹底など組織的な管理対策や物理的管理対策が重要である。 −135−