個人情報が含まれた端末の紛失に関するお詫びとご報告2 [2012年01月30日(Mon)]
NF29485号 2012年1月30日 関係各位 日 本 財 団 理事長 尾 形 武 寿 個人情報が含まれた端末の紛失に関するお詫びとご報告 先般、12月6日付でご連絡させていただいた、標記紛失事故につきまして、皆様には多大なるご迷惑とご心配をおかけし、誠に申し訳ございませんでした。これまでの関係者への対応及びこれまでに講じた再発防止策についてご報告申し上げます。 1. 今後の業務委託先への対応について 今後当財団がCSR調査に関する業務を委託する場合、原則としてPマークもしくはISMS(情報セキュリティマネジメントシステム)認証を取得していることを条件とします。やむを得ず認証を取得していない組織と契約する必要がある場合には、本契約とは別に、個人情報保護に関する所定のガイドラインに沿って機密保持契約を締結することとします。 この場合、委託先業務(特に個人情報の取り扱い状況等)について、定期的な監査を行う等の処置を講じます。 2. 一般財団法人ダイバーシティ研究所に対し求めた改善策 現在CSR報告書の調査業務の一部を委託している一般財団法人ダイバーシティ研究所に対しては、当財団にて現在運用を行っている情報セキュリティマネジメントシステム(ISMS)に順じ、以下の対応を取るよう求めました。また下記の対応について、当財団の職員が定期的に監査を行うものとします。 (1)今後講じる予定の再発防止策について ・ 雇用契約書、業務委託契約書等への明記 今後、契約を交わす際には契約書へ情報セキュリティに関する文言を付記し、新規雇用者及び委託先への周知を図ること。 ・ 各職員への研修 年1回程度、個人情報保護に関する職員研修を行い、各職員へ注意喚起すること。 ・ 業務用パソコンのログインパスワードの安全性保持 パスワードは英数字の組み合わせとし、定期的にパスワードを更新することとし、責任者が更新を定期的に確認すること。 ・職員各自のパソコン使用状況 在宅勤務時及び出張時のパソコンの使用が各規定に則って適切に行われているか、情 報責任者が定期的に確認すること。 ・運用とアクセス制御 名簿や個人情報が含まれたデジタルデータにはパスワードをかけ、メールで共有を行う場合にはパスワードロックについて必ず確認を行う。また、個人情報を含む文書については、退出時に鍵付きのキャビネットに保管すること。 ・情報資産台帳の作成 平成24年1月末を目途に、各業務で保有している個人情報の内容・保管状況等を把握し、管理するための情報資産台帳を作成し、適切な個人情報保護に努めること。 (2)既に講じられている再発防止策について ・個人情報保護方針の周知 方針については平成20年3月24日に制定済み。再度職員への周知を実施。 ・情報責任者と担当者の設置 大阪事務所、東京事務所に責任者及び担当者を設置。 ・職員各自のパソコン使用状況及び安全性の確認 在宅勤務時及び出張時に利用しているパソコンの使用状況を把握し、セキュリティ対策が講じられていることを確認。また、パソコンからのクラウドへのアクセスはネット上でのみ行い、同期化は行われていない。 ・業務用パソコンの盗難防止 事務所内で利用する業務用パソコンについては、盗難防止用ワイヤーの取り付けもしくは鍵付きキャビネットで保管。 <お問合せ先> 日本財団 経営支援グループ CSR企画推進チーム 電話番号:03-6229-5326 (受付時間 9:00〜17:00 土日祝日を除く) E-Mail :cc@ps.nippon-foundation.or.jp 紛失事故発生後にご報告させていただいた内容(再掲) (2011年12月6日付) 1.紛失の経緯 2011年11月30日夜、東京都内飲食店にて業務委託先である同研究所研究員が個人情報の入ったノートパソコン1台を紛失いたしました。即日、警察署へ遺失届を提出しておりますが、本日時点で発見されておりません。 2.ノートパソコンに保存されていた個人情報等重要データ 紛失したノートパソコンには、下記のデータがあることを確認しております。 ・577件の各企業におけるCSR担当部署名、担当者名、電話番号およびメールアドレス ・540件の各企業におけるCSR担当部署名、担当者名、電話番号 ・7件の各企業におけるCSR担当部署名、メールアドレス ・CSR大賞の実施及びCSR報告書調査業務におけるメールの送受信履歴 ※本データは、当財団が2010年に実施したCSR調査の際に頂いた情報が元になっており、2010年ないしそれ以前の時点における、各企業ご担当者様の情報が対象となっております。 以上 |