宮崎県綾町が個人情報をHPへ誤掲載、閲覧可能だったのは14日間…

はじめに

このニュースは個人情報を誤ってHPへ掲載してしまった事件で、その期間も14日間と長期にわたるものだったみたいです。

幸いにも匿名の方からお問い合わせフォームにて、個人情報が流出している旨を受け、発覚したとのことです。

今回は予約ページを修正する際に、誤って添付ファイルを付けていてしまったらしいです、

これって結構、誰でも発生しうるミスで、僕はこういった公共スペースの編集時は、実際に編集したページを開いてみて、問題ないことを確認するといったひと手間を加えてましたね。（というかそうしろって教育されました・・・）

でも時間が無かったり、急に別件が入ったりすると確認するっていう行為自体を忘れたり、スルーしたりってのはどうしてもありました。

もしかしたら今回もそういった要因があるかもしれませんね。

事件の背景

全町民6,939人の個人情報が誤って掲載

宮崎県綾町では、町に住民登録されている全町民6,939人の氏名、住所、生年月日が町の公式ホームページに誤って掲載されていたことが明らかになりました。

個人情報が含まれたファイルが誤って添付

この情報は先月16日から29日までの間、ホームページ上に掲載されていました。この誤掲載は、町が先月1日から開始した所得税と住民税の申告相談の予約状況をホームページに掲載する過程で、個人情報が含まれたファイルが誤って添付されたことにより発生しました。

綾町はこの事態を重く受け止め、事務処理手順の見直しや職員への教育強化を行うとしています。

松本俊二町長も謝罪

松本俊二町長も本件に関して、重大な問題を起こして申し訳ない、と記者会見で謝罪していました。ちなみに令和５年6月9日に就任されたみたいでして、就任からまだそんなに経っていないのに、かなり大きな問題が発生してしまいましたね・・・。

参考…町長プロフィール

なぜ今回のミスが発生してしまったのか？

これに関してはまだ公開情報が無いため、考えられる要因を挙げてみます。

人的ミス

個人情報が含まれたファイルを誤って公開用のファイルとして扱ってしまった可能性があります。これは、職員がファイルを間違える、またはファイル名や内容を確認せずに操作した結果生じる可能性があります。

プロセスの不備

町のホームページに情報を掲載するプロセスにおいて、適切なチェック機能や承認プロセスが欠けていた可能性があります。情報公開前に内容を確認するための手順が不十分であったり、複数の職員による確認が行われていなかったりすると、ミスが発生しやすくなります。

教育・訓練の不足

職員が個人情報の取り扱いに関する十分な教育や訓練を受けていない、またはその意識が低いことも要因として考えられます。個人情報保護の重要性や適切な取り扱い方法についての理解が不足していると、このようなミスが生じるリスクが高まります。

システムの不備

情報を管理するシステムにおいて、誤って情報を公開してしまうリスクを防ぐための機能が不足していたり、使い勝手が悪いために操作ミスが生じやすい状況であったりすることも、ミスの要因となり得ます。

これらの要因を総合的に考慮し、人的ミスを減らすための教育・訓練の強化、プロセスの見直し、システムの改善などを行うことが、今後同様のミスを防ぐために重要です。

藤巻

藤巻的には、仕事上で良くあったのは、教育不足と人的ミスがよくありましたね。アップロードしたファイルがあれば、それが正規なものか確認のステップを設けるように教育するとか、そもそもアップロードにはだれかの承認を設けるとか、そういったプロセスは結構あった気がします。

システムのプロセスについて見直すには？

1. アクセス権限の厳格化：個人情報を含むファイルに対するアクセス権限を厳格に管理し、必要な職員のみがアクセスできるようにします。不要なアクセスを防ぎ、誤ったファイルの使用を減らすことができます。
2. 二重の確認プロセスの導入：情報を公開する前に、少なくとも二人以上の職員が内容を確認するプロセスを設けます。これにより、一人のミスを他の職員が発見しやすくなります。
3. 自動化とエラーチェック機能の強化：システムに自動化されたエラーチェック機能を導入し、個人情報が含まれている可能性があるファイルが公開される前に警告を発するようにします。これにより、誤ったファイルの公開を防ぐことができます。
4. 定期的な教育と訓練：職員が個人情報の取り扱いに関して常に最新の知識を持ち、適切な意識を持って作業できるように、定期的な教育と訓練を実施します。

どこまで対策するか？

個人的な意見としては、どこまで対策するか？っていうところですよね。複雑な対応だったり、システム面の改善は容易なものでは無いですよね。

なにが問題かって、システムの改修費や人件費等のコストがかかってしまいます。今すぐに対応できることっていうのは、再教育と二重プロセスを設けることですかね。

しかし、人だよりの対応だとまた同一のミスが発生してもおかしくないので、システム面での改修も必要かと思います。

こうして対応を増やしていくと、コストがどんどん掛かってしまうので、実際自分のいた現場では、結局すぐに対応できるコストのかからないもので済ませたケースが多かったですね・・・。

まとめ

今回はかなりの個人情報がおおやけになってしまったみたいで、大問題に発展してしまいましたが、しょうがないっていう言い方は不適切かもしれませんが、人為的なミス一発でこういった大問題に発展する環境というのも問題があると思っています。

昔からのシステムだったりやり方っていうのは、どうしても改めるのは難しいものです。(主に新しいやり方に対して否定的な人が多いはずです。)

良くあったのは新しくやり方を覚えるのが嫌だ！っていう意見が殺到して、結局改善案が通らない、みたいなのが現場でありましたね。

二度とこういったミスが発生しないような改善を願っています。