レクチャー・イベント/レクチャー・イベント詳細
2025/06/16「個人情報漏洩!その時どうする?」
個人情報漏洩事件が発生したと仮定し、その際の対応方法を考え検討し発表。いざという時に備えるロールプレーニングを実施しました。
1.実施概要
開催地:三重県津市みえ市民活動センター
開催日時:2025年3月7日
対象:非営利組織スタッフ15名
講師:会田和弘(イーパーツ理事、東京電機大学サイバーセキュリティ研究所 研究員、千葉大学 非常勤講師)
2. 全体の流れ
| ① 目的・進め方の説明 |
| ② 各テーブルごとに役の割り振り |
| ③ 漏洩を引き起こした団体の普段の活動について |
| ④ 漏洩事件の概要の説明 |
| ⑤ 各テーブルごとに対応を検討 |
| ⑥ 各テーブルごとに作成した対応案を発表 |
| ⑦ 講師によるコメント |
3. 想定シナリオ
3.1 団体の概要
- 団体Aは、子どもの貧困問題の解決に取り組んでいる。
- 活動の柱は、子ども食堂と大学生ボランティアによる無料の学習塾
- 代表理事1名、事務局長1名、スタッフは3人、学生ボランティア5名
- 活動のための費用は約300万円/年。企業からの資金や物品の寄付が活動を支えている。
- 運営に関わる個人情報として、下記のものを扱っている。
- 子どもの氏名・住所・電話番号・生活について情報、スタッフ、ボランティア、企業や役所の担当者、記者の氏名、連絡先など200件
- 過去に、メールでBccで送らなければならないところCcで送ってしまった経緯がある。
3.2 漏洩事件の概要
- Bさんは、翌日の子ども食堂と無料学習塾の準備を自宅で行うため、事務所のPCから下記の情報100件をUSBメモリにコピーした。
- 子どもの氏名・住所・電話番号・生活について情報(保護処分をうけた子どもの情報も含まれている)。
- 子ども食堂や無料学習塾への今までの参加状況、参加した際の様子など。
- ボランティアの氏名と連絡先、子供とのトラブル案件など。
- 明日の子ども食堂のメニュー、食材のリストなど(食材はBさんの自宅で管理している)。
- 協力企業の担当者のリスト。
- BさんはこのUSBメモリを専用のポーチに入れて持ち出した。
- 帰宅途中に公園のベンチで休憩した際にポーチを落とした。これに気が付かず帰宅、翌日USBメモリがないことに気がついた。
4. 検討した内容の発表
5. 講師からのコメント
「個人情報の紛失があった当日に子供食堂が予定されているが、それにふれた対応はなかった。休日でも早朝でも、緊急時の連絡網を設定しておく必要がある。模範回答として下記をあげる。/・
| フェーズ | 求められる対応 | |
|---|---|---|
| (1) | 事業者内部における報告及び被害の拡大防止 | 責任者へ漏洩等を報告。被害が発覚時から広ろがらない為に必要な処置をとる。 |
| (2) | 事実関係の調査及び原因の究明 | 事実関係を調査し、原因は何か、どうして漏洩等が起こったのか、何が問題であったのかを究明する。 |
| (3) | 影響範囲の特定 | (2)で判明した事実関係の影響の範囲を特定する。 |
| (4) | 再発防止策の検討及び実施 | (2)の結果に基づき漏洩等の再発防止策の検討し実施する。 |
| (5) | 個人情報保護委員会への報告および本人へ通知 | 要配慮個人情報が含まれていたなど報告。通知義務がある場合、個人情報保護委員会に報告と本人に通知する。 |
参考資料
- 個人情報保護委員会
- 「個人情報の保護に関する法律についてのガイドライン(通則編)
- 漏えい等の対応とお役立ち資料