USBの紛失事故 - プライバシーマーク - 専門家プロファイル

牧瀬 平次
ID&COM 代表
ISOコンサルタント

注目の専門家コラムランキングRSS

対象:ISO・規格認証

人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
人見 隆之
(ISOコンサルタント)
人見 隆之
(ISOコンサルタント)
人見 隆之
(ISOコンサルタント)

閲覧数順 2016年12月08日更新

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

USBの紛失事故

- good

  1. 法人・ビジネス
  2. ISO・規格認証
  3. プライバシーマーク
プライバシーマーク、情報セキュリティ 安全管理

慶應大学病院で以下のような個人情報にからむ事故が発生している。
「慶応大学病院でUSB紛失か 個人情報2万4千人分紛失」

(msn:産経ニュース:

http://sankei.jp.msn.com/affairs/news/110627/crm11062722270024-n1.htm)

内容
慶應義塾大学病院スポーツ医学総合センターにおいて、患者2万4459人の個人情報含むUSBメモリが所在不明になったことが6月17日に紛失が判明した。
・USBメモリは所定のキャビネットに保管され、夜間は施錠されていたが、4月28日に確認以降所在が不明である。
・USBメモリ内部には、1991年9月から2011年4月にかけて同センターを受診した2万4459人の個人情報が保存。  患者の氏名、ID、電話番号、性別、生年月日、傷病名など。
・同院のコメントでは、USBメモリ内の疾病名、治療経過について、別ファイルで管理されており、IDとパスワードがなければ 内容を閲覧できないと説明。 ・同院では対象となる患者に説明と謝罪の文書の送付を開始した。

慶應大学医学部・医学研究科:
http://www.med.keio.ac.jp/information/hbimd2000000ir87.html


【コメントと対策】
USBメモリーは小さいが、データが大量に入る。その点が長所であり、短所でもある。
プライバシーマーク審査では、個人情報の保管場所等を見せてもらう場合があるが、保管する個人情報のリストを作成し、定期的にチェックしているところは少ない。
保管庫を管理する場合、総務担当者や経営者等の少数で保管庫を利用するなど限られたアクセスが行われる場合も多いが、このような場合はそれほど問題はないかもしれない。
しかし、保管庫や内部のUSBメモリ等を利用する担当者が複数で、しかも管理職以外の利用者が複数ある場合、仕組みとしての管理方法を工夫する必要があると思われる。
また、フラッシュメモリの場合、1年以上のデータの保存は補償しない旨取扱い注意に記載している場合がほとんどである。
USBはデータ保存の上からもハードウェア的にも保管し放しというのはリスクがあるといえる。
この意味で以下の管理方法を検討する必要があるだろう。
・USB専用の管理BOXを用いて、一見して保管・使用状況を把握でき る状態にする。
・保管庫の施錠管理チェック時に、個々のUSBの保管・貸出等の状 況をチェ ックする。
等、保管・貸出等の状況をチェックしやすい状態を作ることであり、ルール作り徹底実施をすることが重要であると思われる。
特に、USBを使用する担当者が多くなればなるほど管理が困難になり、責任の所在も不明確になりやすい。
また、管理を厳重にすればするほどリスクは少なくなるが、逆に業務の推進が妨げられる恐れもある。このため、USBの数を少なくして、管理職が保管管理するなど、事故が起きやすい要素をできるだけ少なくする工夫も管理のポイントとなる。

このコラムに類似したコラム

プライバシーマーク取得の流れ 小林 和樹 - ISOコンサルタント(2012/02/14 19:10)

「日本の食品安全」の品質について考えてみよう!(中) 前谷 加奈 - ISOコンサルタント(2011/01/19 16:23)