個人情報の漏えいは、企業の規模や取り扱う情報の量に限らず、あってはならないことです。
しかし自社が万全の対策を取っていたとしても、業務の委託先がある場合はどうしてもそのリスクが高くなります。
今回は、委託先が原因で発生した個人情報漏えい事故の事例を見ていきます。
東京都メール誤送信事件
2024年9月18日、東京都の委託先においてメールの誤送信が発生しました。
都によると同日17時頃、委託先のビー・アンド・ディーが河川愛護月間イベント“川を歩こう”の申込者に落選のメールを送信した際、送信先を誤ってCCに設定したといいます。
この誤送信により、受信者間でメールアドレスが閲覧できる状態が発生しました。
誤送信は受信者からの連絡によって判明しています。
また都では対象となる申込者に連絡し、謝罪するとともに誤送信したメールの削除を依頼しています。
こちらは自社が対策を取り、委託先における個人情報保護体制を確認していたとしても、完全に防ぐのは難しい事例と言えます。
高齢・障害・求職者雇用支援機構メール誤送信事件
高齢・障害・求職者雇用支援機構の委託先において、2024年8月23日に業務委託先におけるメールの誤送信が発生しました。
同機構によると同日22時半頃、委託先によりeラーニングを活用した職業訓練の受講者に対してメールを送信した際、誤送信が発生したとされています。
2回に分けてメールを送信しましたが、いずれも送信先メールアドレスが宛先に設定され、受信者間でメールアドレスを閲覧できる状態になりました。
送信担当者が2回目のメール送信先に自身のメールアドレスを含めていたことから、受信したメールを確認したことで誤送信に気付いたとのことです。
事故発生の数日前、別の担当者が教育管理システムのテンプレート機能を用いて送信していたメールがBCCで送られていました。
そのため、誤送信を行った担当者は、同システムによって送信されるメールは自動的にBCCで送信されると勘違いしていたそうです。
こちらは、委託先における個人情報管理の体制がもっと強固であれば防げた可能性が高いです。
徳島県個人情報漏えい事件
2024年7月1日、徳島県の納税通知書作成業務における委託先が、ランサムウェアの被害に遭ったことが判明しました。
またこちらの感染により、延べ約20万件、約14万5,000人分の個人情報が漏えいしています。
ランサムウェアはグループによる攻撃とされていて、攻撃グループのリークサイト上で公開されたダウンロードURLから、同県に関する情報が含まれていたことが判明しました。
対象となるのは2023年度自動車税の印刷データであり、個人に関する14万9,797件、法人に関する4万6,022件が漏えいしています。
さらに同年度の減免自動車の現況報告書4,260人分、還付充当通知書、送金通知書個人1人分などの漏えいも確認されています。
委託先企業のランサムウェア被害を完全に防ぐのは難しいですが、ある程度セキュリティ性の高い委託先を選ぶなどすれば、このような事故は防ぎやすくなります。
サノフィ個人情報漏えい事件
フランスに本社を置く製薬会社のサノフィは、同社データベースにより医療従事者に関する個人情報が漏えいした可能性があることを明らかにしました。
同社によると、2024年7月10日に業務委託先のコンサルタントにおけるパソコンがマルウェアに感染しています。
またその後14日にかけて、データベースへ第三者による不正アクセスが行われたといいます。
アクセスされた情報には、国内関係者の個人情報も含まれていました。
漏えいの対象となるのは医療従事者73万3,820人の個人情報で、氏名や性別、生年月日やメールアドレス、医療機関名や医療機関住所などが含まれます。
まとめ
多くの業務をこなす企業、大量の個人情報を取り扱う企業にとって、他企業への業務委託は非常に便利な方法です。
しかし、委託先の個人情報保護体制を逐一監視することは難しく、どうしても個人情報漏えいのリスクは高まってしまいます。
そのため、委託先企業の慎重な選定はもちろんのこと、JAPHICマークの取得も視野に入れることをおすすめします。