個人情報の管理

今回は、個人情報の管理についてお話しします。

県庁では、今年度に入って、4月に3件、5月に1件、個人情報の漏洩がありました。内容は、下記の通りです。

静岡県における情報セキュリティインシデント

種別	発覚日	所属名	内容
メール	令和4年4月8日	健康福祉部　中部健康福祉センター	関係機関に管内の発生状況を定期的に情報提供するため、表計算ソフトファイルをメール送信する際、誤ってファイル内の別シートに個人情報が残ったままで送信した。
メール	令和4年4月15日	健康福祉部　東部健康福祉センター	宿泊療養施設に入所する予定の患者の個人情報を当該施設にメール送信する際、誤って県内の小学校へ送信した。
誤送付	令和4年4月26日	健康福祉部　中部健康福祉センター	証明書をパソコンで作成する際、別の患者の住所と錯誤した証明書を作成してしまい、誤った住所に特定記録郵便で発送した。
メール	令和4年5月19日	経済産業部　マーケティング課	表計算ソフトファイルで非公表としている事業者情報を削除することなく提供してしまった。（4月20日に送付したものを、課の職員が5月19日に気づいた。）

健康福祉部の健康福祉センターにおけるコロナ関係の個人データの漏洩と、経済産業部における事業者データの漏洩です。
いずれも、県のシステムが攻撃を受けたとかシステム上の不具合とかの問題ではなく、いわゆる人的ミスによるものです。
特に、健康福祉センターでは、1ヶ月の間に同様なケースでのミスによる漏洩が発生しています。こうなると、単純に個人的なミスでは済まされないような気がしますし、このまま何も対策を打たないと更に大きなミスにつながる可能性があると思います。

このようなミスが起きてしまったときは、必ず、再発防止策を書かせます。担当部署も「対策をします」と言うのですが、その事例を踏まえて職員ひとり一人が自分のことと考えて対策をすれば、こんな短期間には立て続けにミスは起きないと思います。何度も言うようですが、個人のミスで済まさず、組織として意識していくことで、しっかり対応していく必要があります。

ところで、静岡県では、情報セキュリティポリシーというものが定められており、情報漏洩が起きた際の組織内の情報共有体制については、今年5月11日のデジタル戦略推進本部会議でも下記の図で説明をいたしました。

なぜ、基本的なこのような事項を説明したかというと、4月の情報漏洩の3件については、ここに示した体制が十分に機能していなかったのです。
セキュリティインシデントは、発生を防ぐことも重要ですが、発生した後に迅速に対応することも非常に重要です。そのためには、連絡体制を整備し、それを機能させることが大事なのです。
事故を起こしてしまった部局では、システムに関係していないところでの情報漏洩だったため、報告する必要はないと考えていたようです。そのようなことがあったため、本部会議で、再度意識してもらうために、私が指示して電子県庁課長に説明をしてもらいました。

しかし、本部会議後に起きた案件でも、部局の中での対応を優先し、電子県庁課への報告は後回しになっていました。各部局のデジタル推進官から部局全体に情報が浸透していないと言うことです。
組織が大きくなればなるほど、ひとり一人に意識を浸透させるのはどんどん難しくなります。意識を浸透させるには、どうしたらよいのかという想いです。

本部会議でも、私から「デジタル推進官の役割は非常に重い」、「ひとたび、重大なインシデントが起きれば、“責任の及ぶ立場”である」旨を伝えましたが、果たして、どれだけの推進官が自分事として受け止めてくれているでしょうか。心配です。

こと情報セキュリティに関しては、個人情報の管理等、ひとり一人の職員が自分のこととしてしっかり考えることが重要です。
再度、人事課や法務課、監査委員事務局等関係部署とも連携し、職員研修や庁内電子掲示板等での注意喚起を通じて、職員ひとり一人に情報管理の大切さについて認識していただくよう地道にやっていこうと思います。