「パソコンやUSBメモリを紛失したり、盗難に遭った」場合
O「パソコンやUSBメモリなどを電車の中、飲食店などに置き忘れた」
O「置き引きや車上荒らしに遭い、パソコンやUSBメモリなどが盗まれた」
このような紛失や盗難が起きた場合への対応例は次のとおりである。
-
紛失・盗難時の対応①「発見・報告」
個人情報漏えいの原因となる紛失や盗難が発覚するきっかけは、「紛失や盗難を見つけた社員からの自己申告」「警察からの連絡」「取得者からの連絡」などである。
紛失や盗難を発見した従業員は、情報の「種類」「内容」「項目」「件数」「発生日時・場所」「発生理由」など、判明している事項を上司など社内の責任者に直ちに報告する。
また、鉄道会社担当窓口、店舗窓口など、紛失場所の管理者にも連絡をする。
-
紛失・盗難時の対応②「初動対応」
初動対応では、紛失したり盗難されたパソコンやメモリに「何の情報がどの程度含まれていたのか」を最初に確認する。また、「機器やデータの暗号化やアクセス制限の有無」を確認する。
そして、「紛失や盗難の当事者は誰か」「何が紛失・盗難に遭ったのか」「紛失・盗難の対象物に格納されていた情報は何か」「いつ・どこで・なぜ、紛失・盗難が発生したのか」「紛失・盗難が発覚した理由は何なのか」など基本的な情報を整理する。
次に、紛失物の捜索作業や回収作業を行うとともに、警察への届け出を行う。捜査関係者が発見しやすくなるように、パソコンやメモリの製造番号や製品固有の形状、大きさ、色などの特徴もあわせて伝えておく。
紛失した情報にメールや情報システムなどのアカウント情報が含まれる場合は、応急処置としてパスワードの変更やアカウントの停止を行う。
-
紛失・盗難時の対応③「事実関係の調査・確認」
社内に残された記録から紛失・盗難に遭った情報をなるべく正確に把握する。予想される二次被害を確認する。
「公共性の高い情報か、個人情報か」など、漏えいした情報の種類を調査し、漏えいした情報に対して事前にどのような保護策を実施していたか、影響はどこにあるか、情報管理上の問題点などを調査して、被害の重要度を判断する。
-
紛失・盗難時の対応④「通知・報告・公表など」
紛失や盗難に遭ったパソコンやメモリなどに個人情報が含まれ、漏えいの恐れがある場合は、本人への通知とお詫びを行う。
また、必要に応じて監督官庁に届け出る。規模や影響範囲が大きい場合はウェブサイトなどで状況の経緯を公表する。
-
紛失・盗難時の対応⑤「被害拡大防止措置」
漏えいの恐れがある情報に、クレジットカード、銀行口座番号、IDやパスワードなどの個人情報が含まれている場合は、すみやかに本人に通知して、カード停止、口座停止、ID停止などを促す。また、バックアップデータやコピーなどから修復可能な情報を復旧する。
-
紛失・盗難時の対応⑥「再発防止策の実施」
個人情報漏えいが発生した場合、どのような理由であっても再発防止策の検討と実施が必要である。
建物への侵入防止、情報資産の保管方法、情報資産の持ち出し管理、情報の暗号化やアクセス制御、それらの徹底など、物理面、技術面、管理面、教育面など、あらゆる問題点を総合的に検討して改善する。
(※ 平成27年11月時点で執筆しております。その後の法改正にご留意ください。)
新着情報・セミナー情報
-
セミナー情報 -
お知らせ -
お知らせ -
お知らせ -
セミナー情報
NEWS LETTER バックナンバー
-
2020.09.01
-
2020.08.01
-
2020.07.01
-
2020.06.01
