新型コロナウイルスと個人情報保護(理事 長野數利)

新型コロナウイルスの感染防止措置で外出も自粛し、ノートPCを相手に、これを良い機会にと普段できなかった業務の整理をしています。
さて、先日の5月5日に、某自治体からコロナウイルス感染者の名前、入院先の医療機関名等の個人情報495名分が、ウェブページに45分間掲載されるというミス(インシデント)がありました。大きな原因は2つあると考えられます。
一つ目は、「県内発生事例一覧表」の表形式ファイルを持ち出し、そのファイルに直接、必要なデータを追加したものの、公開してはならない名前等の個人情報を削除することを忘れて、ウェブページに掲載したこと。ファイルの持ち出し時に、削除忘れ等のリスクを考えて、不要な個人情報は削除して持ち出せば防げるインシデントであったと考えられる。
二つ目は、ダブルチェックの体制。ルール上は、ウェブに掲載すべきファイルの作成者とは別の承認者がダブルチェックをすることになっていたが、当日は、作成者と承認者が同一であった。形式的なダブルチェック体制にすぎなかったものと思われる。
個人情報保護法が施行されて15年になるが、同様なインシデントは後を絶たない。教育の問題なのか、個人情報を取扱う担当者の資質の問題なのか? 一度、インシデントを起こせば、同じ過ちはしないのだろうが・・・。

理事 長野數利