「情報事故事例」から学ぶ ケーススタディ 事故事例については、各学校が情報事故発生に伴い一般に公表されたものを一部修正して事例としています。 ケーススタディ 「情報事故事例」から学ぶ 「情報事故事例」を例示しています。 事故事例については、各学校が情報事故発生に伴い一般に公表されたものを一部修正して事例としています。 事故を起こさないためにはどのようなことを心がけ、どのような対応をするべきかを話し合い、今後の対応に生かしましょう。 今回の研修はケーススタディです。 まず、お手元の事前アンケートにお答え下さい。 また、今回はワークシートを使います。皆様お手元にワークシートはきているでしょうか。 いろいろな意見を出し合ってみましょう。 情報事故事例として4件例示しています。 事故事例については、各学校が情報事故発生に伴い一般に公表されたものを一部修正して事例としています。 事故を起こさないためにはどのようなことを心がけ、どのような応対をするべきかを話し合い、今後の対応に生かしましょう。 本教材は(株)NTTドコモ関西支社総務部情報セキュリティ担当様提供資料より引用 本教材は(株)NTTドコモ関西支社総務部 情報セキュリティ担当様提供資料より引用 尼崎市立教育総合センター
生徒の写真データ、卒業生の名簿、バザーへの案内状送付先の個人情報の含まれたUSBを紛失した。 事例① 個人情報(USBメモリ)の紛失 生徒の写真データ、卒業生の名簿、バザーへの案内状送付先の個人情報の含まれたUSBを紛失した。 このUSBは、暗号化されておらず、持ち出しに必要な校長の許可も受けていなかった。 では事例1 個人情報(USBメモリ)の紛失です。 読んでいきますので問題点を考えながら聞いて下さい。 生徒の写真データ、卒業生の名簿、バザーへの案内状送付先の個人情報の含まれたUSBを紛失した。 このUSBは、暗号化されておらず、持ち出しに必要な校長の許可も受けていなかった。
その後、当該職員は写真店に行き、店内や駐車場を捜索したが見つからなかったため、翌朝、●月●日(月)に、教頭に報告した。 事例① 個人情報(USBメモリ)の紛失 ●月●日(日)校内行事の終了後、生徒の写真を業者にプリント発注のために、学校貸与のUSBに画像データを移して学校を出る。プリント発注の後、知人宅に立ち寄り、帰宅した。自宅にてUSBが無いことに気づいた。当該職員は、持ち物や服、自家用車内を捜索したが、見つからなかった。写真業者にも問い合せたが無かった。 その後、当該職員は写真店に行き、店内や駐車場を捜索したが見つからなかったため、翌朝、●月●日(月)に、教頭に報告した。 現時点で紛失による被害等は確認されていない。 ●月●日(日)校内行事の終了後、生徒の写真を業者にプリント発注のために、学校貸与のUSBに画像データを移して学校を出る。 プリント発注の後、知人宅に立ち寄り、帰宅した。自宅にてUSBが無いことに気づいた。 当該職員は、持ち物や服、自家用車内を捜索したが、見つからなかった。写真業者にも問い合せたが無かった。 その後、当該職員は写真店に行き、店内や駐車場を捜索したが見つからなかったため、翌朝、●月●日(月)に、教頭に報告した。 現時点で紛失による被害等は確認されていない。
・生徒 24名 卒業生 57名 該当者総数 81名(氏名・住所) ・写真(校外行事等の様子がわかる写真) 事例① 個人情報(USBメモリ)の紛失 個人情報の内容 ・生徒 24名 卒業生 57名 該当者総数 81名(氏名・住所) ・写真(校外行事等の様子がわかる写真) どのようにすれば防ぐことができた事故だと思いますか? この事例中の行動で問題はありませんか? 個人情報の内容 ・生徒 24名 卒業生 57名 該当者総数 81名(氏名・住所) ・写真(校外行事等の様子がわかる写真) さて、どのようにすれば防ぐことができた事故だと思いますか? この事例中の行動で問題はありませんか? 周囲の人と相談しながら、お手元のワークシートに問題点やどうすれば防げるかを書いていって下さい。
・USBに必要のないデータが入っている。 ・暗号化されていない。 ・校長の許可を得ていない。 ・知人宅に立ち寄り、帰宅している。 事例① 個人情報(USBメモリ)の紛失 問題点 ・USBに必要のないデータが入っている。 ・暗号化されていない。 ・校長の許可を得ていない。 ・知人宅に立ち寄り、帰宅している。 どのようにすれば防げるか ・必要のないデータは入れない。 ・データは暗号化する。 ・管理職の許可を得る。 ・一端学校に戻りUSBを保管すべき。 まず、問題点です。 学校貸与のUSBというところはいでしょう。しかし、必要のないデータが入っています。 持ち出す際は必要最低限のデータにしたほうが被害を抑えることができます。 又、暗号化されていません。 その上、管理職の許可を得ていませんね。これはよくないです。 更には、「知人宅に立ち寄り」寄り道ですね。帰宅しています。大変面倒だと思われるかもしれませんが、学校にもどって保管するべきでした。 これらを改善すべきです。
事例② USBメモリの盗難 ●月●日夕刻から●日早朝にかけて、本校入試広報委員会室において、中学在籍生徒、中学校受験生の皆様の個人情報等を記した記録媒体(USBメモリ)と金銭(30万円弱)の盗難被害に遭いました。 本校では、成績管理、個人情報については、「●●学校個人情報保護規程」にもとづき、その取り扱い、保管管理について、教職員に対して周知徹底を図ってまいりましたが、今般このような盗難事件が起こりました。 それでは事例2です。USBメモリの盗難です。 ●月●日夕刻から●日早朝にかけて、本校入試広報委員会室において、中学在籍生徒、 中学校受験生の皆様の個人情報等を記した記録媒体(USBメモリ)と金銭(30万円弱)の盗難被害に遭いました。 本校では、成績管理、個人情報については、「●●学校個人情報保護規程」にもとづき、 その取り扱い、保管管理について、教職員に対して周知徹底を図ってまいりましたが、今般このような盗難事件が起こりました。
事例② USBメモリの盗難 今後、防犯カメラの増設、校舎の施錠の徹底など、学内の防犯システムの一層の強化を図り、盗難事件の再発防止を図るとともに、個人情報の取り扱いと保管管理のより一層の徹底に努めてゆく所存です。 記録されていたデータ ・過去3年間分の●●中学入学試験情報 (氏名、点数) 2,915名 ・●●中学在籍生徒成績データ1,180名 今後、防犯カメラの増設、校舎の施錠の徹底など、学内の防犯システムの一層の強化を図り、盗難事件の再発防止を図るとともに、個人情報の取り扱いと保管管理のより一層の徹底に努めてゆく所存です。 記録されていたデータ ・過去3年間分の●●中学入学試験情報(氏名、点数) 2915名 ・●●中学在籍生徒成績データ1180名 盗難されて被害者であるのに、児童・生徒に対しては加害者になってしまう例です。 それでは、ワークシートに問題点やどうすれば防げるのかを相談しながらお書き下さい。 どのようにすれば防ぐことができた事故だと思いますか? どこか問題はありませんか?
・「●●学校個人情報保護規程」の規定通り管理していたか。 ・本校入試広報委員会室に保管していた。 ・現金を近くに置いていた。 事例② USBメモリの盗難 問題点 ・「●●学校個人情報保護規程」の規定通り管理していたか。 ・本校入試広報委員会室に保管していた。 ・現金を近くに置いていた。 どのようにすれば防げるか ・「情報保護規定」の策定と厳格な施行。 ・個人情報は校長室金庫保管。 問題点です。 「●●学校個人情報保護規程」とありますが、今回の事例は果たしてその通りにUSBメモリを管理していたのでしょうか。 それは、入試広報委員会室に保管しておいていいのかという問題になります。 又、現金をおいてあることにも問題があります。 どのようにすれば防げるのでしょうか。 やはり「情報保護規定」は各学校で決めておくべきであり、各教職員が遵守しなければなりません。 又、個人情報は原則金庫保管です。
事例③ 個人情報(USBメモリ等)の盗難 ●月●日午後8時40分頃、●●小学校教諭が自宅で作業するため、担当する児童の個人情報や成績に関する情報を含んだデータファイルを保存したUSBメモリと、漢字プリント、緊急連絡用住所録を鞄に入れ持ち帰ったところ、自宅近くの●●市内において自転車に乗って走行中、ひったくりの被害にあい、鞄ごと盗難にあうという事案が発生した。 事例3です。 ●月●日午後8時40分頃、●●小学校教諭が自宅で作業するため、 担当する児童の個人情報や成績に関する情報を含んだデータファイルを保存したUSBメモリと、漢字プリント、 緊急連絡用住所録を鞄に入れ持ち帰ったところ、 自宅近くの●●市内において自転車に乗って走行中、ひったくりの被害にあい、鞄ごと盗難にあうという事案が発生した。
直ちに所管の警察署に届出の手続きをとり事情聴取中、拾得物として当該鞄が警察署に届けられ、当該教諭の所持金以外の全てを回収することができた。 事例③ 個人情報(USBメモリ等)の盗難 直ちに所管の警察署に届出の手続きをとり事情聴取中、拾得物として当該鞄が警察署に届けられ、当該教諭の所持金以外の全てを回収することができた。 しかし、いったんは個人情報の盗難、紛失という事態を招いた。 直ちに所管の警察署に届出の手続きをとり事情聴取中、拾得物として当該鞄が警察署に届けられ、当該教諭の所持金以外の全てを回収することができた。 しかし、いったんは個人情報の盗難、紛失という事態を招いた。
・担当する児童の氏名や成績に関する情報のデータ ・緊急連絡用住所録 ・漢字プリント 事例③ 個人情報(USBメモリ等)の盗難 盗難、紛失にあった内容は、 ・担当する児童の氏名や成績に関する情報のデータ ・緊急連絡用住所録 ・漢字プリント なお、現時点では、情報の不正使用等の事実は確認されていない。 盗難、紛失にあった内容は、 ・担当する児童の氏名や成績に関する情報のデータ ・緊急連絡用住所録 ・漢字プリント なお、現時点では、情報の不正使用等の事実は確認されていない。 これもひったくりをされた被害者であるのに、児童・生徒に対しては加害者になってしまう例です。 それでは、ワークシートに問題点やどうすれば防げるのかを相談しながらお書き下さい。 どのようにすれば防ぐことができた事故だと思いますか? この事例中の行動で問題はありませんか?
・児童の氏名を数字やアルファベットにする等の工夫で非個人情報化できる。 事例③ 個人情報(USBメモリ等)の盗難 問題点 ・ひったくり防止策はとっていたのか。 ・管理職の許可を得ていたのか。 ・緊急連絡用住所録は必要か。 ・データの暗号化等はなされていたか。 どのようにすれば防げるか ・児童の氏名を数字やアルファベットにする等の工夫で非個人情報化できる。 問題点です。 やはり、ひったくりに合わないようにすることは大事です。かごにネットをつけることとか、 重要なものはリュックサック等の身に近い鞄に収納することです。 そのほかの問題点は事例1と似ており、USBに必要のない個人情報が入っていること、管理職の許可を得ていないこと、データの暗号化をしているか分からないことが挙げられます。 これらを防ぐ一つの手段をご紹介します。 それは、多少面倒でも、持って帰るデータの氏名欄をなんらかの文字に変えてしまう方法です。 こうすれば単なる数字の羅列となり、個人情報ではなくなります。 もちろん他のデータから類推ようではいけませんので、USBの中は最小限のデータにしましょう。
●月25日(金)に中学校から郵送で提出された生徒指導要録(写)と生徒健康診断票を事務職員が受け取り、事務室内の段ボール箱に収納しておいた。 事例④ 生徒の個人情報(生徒指導要録・生徒健康診断票)の紛失 ●月25日(金)に中学校から郵送で提出された生徒指導要録(写)と生徒健康診断票を事務職員が受け取り、事務室内の段ボール箱に収納しておいた。 ●月8日(金)、教務主任が事務室から職員室に当該書類の入った段ボール箱を運び、これを受け取った1学年主任が職員室内のロッカーの棚の上に置いた。 事例4です。これは(生徒指導要録・生徒健康診断票)の紛失というヒューマンエラーです。 ●月25日(金)に中学校から郵送で提出された生徒指導要録(写)と生徒健康診断票を事務職員が受け取り、事務室内の段ボール箱に収納しておいた。 ●月8日(金)、教務主任が事務室から職員室に当該書類の入った段ボール箱を運び、これを受け取った1学年主任が職員室内のロッカーの棚の上に置いた。
事例④ 生徒の個人情報(生徒指導要録・生徒健康診断票)の紛失 ●月11日(月)午後、1年部の教員が当該書類をクラスごとに仕分けしたところ、6校から提出された20名分の書類がないことに気づき、管理職に報告した。 ●月11日(月)午後、1年部の教員が当該書類をクラスごとに仕分けしたところ、6校から提出された20名分の書類がないことに気づき、管理職に報告した。
事例④ 生徒の個人情報(生徒指導要録・生徒健康診断票)の紛失 (対 応) ●月11日(月)より、関係職員で事務室、職員室及び関係する箇所を探した。●月13日(水)には、朝の職員打合せで書類紛失の事情を説明し、再度全職員で校内各所を探したが、現段階では発見に至っていない。 (対 応) ●月11日(月)より、関係職員で事務室、職員室及び関係する箇所を探した。●月13日(水)には、朝の職員打合せで書類紛失の事情を説明し、再度全職員で校内各所を探したが、現段階では発見に至っていない。 それでは、ワークシートに問題点やどうすれば防げるのかを相談しながらお書き下さい。 どのようにすれば防ぐことができた事故だと思いますか? この事例中の行動で問題はありませんか?
・届いてからの数量等の確認がされていない。 事例④ 生徒の個人情報(生徒指導要録・生徒健康診断票)の紛失 問題点 ・書類の保管がずさん。 ・届いてからの数量等の確認がされていない。 どのようにすれば防げるか ・指導要録等はすぐに確認して金庫に保管。 今回はデジタルデータではなくアナログデータです。 問題点は皆さんご指摘の通り、まず書類の保管が非常にずさんです。 又、重要な書類なのに何日も放置して中を確認していないことも相当問題です。 やはり個人情報はすぐに確認して金庫で保管するようにしましょう。 様々な事例に見られますように、これは本当にあった事例です。 皆さんも今日学んだことを肝に銘じて頂き、個人情報はきちんと管理して頂きたいと思います。 以上で今回の研修を終わります。ありがとうございました。