病院や介護施設で情報漏洩事故が起きてしまったら?被害を最小限にとどめる事故発生時の対応ポイント

これまで編集部では、情報漏洩事故を未然に防ぐ為の対策についていくつかご紹介してきました。

情報漏洩を未然に防ぐことが最も重要なことは間違いないですが、対策をとっているにも関わらず実際に情報漏洩が発生してしまった時どうすればいいのでしょうか。
適切な処置を行うことによって、被害は最小限に留めることができます。

そこで今回は情報漏洩が発生してしまった場合、何をしなければならないか、何に注意すべきか、IPAが報告している「情報漏洩発生時の対応ポイント集」をまとめました。

 

情報漏洩対応の5原則

(1)被害拡大防止・二次被害防止・再発防止の原則
情報漏洩が発生した場合に最も重要なことは、情報漏洩によって引き起こされる被害を最小限にとどめることです。そして、漏洩した情報が犯罪等に使用されることを防止しなければなりません。また、一度発生した事故・事件は二度と起こることのないよう再発を防止することも重要となります。

(2)事実確認と情報の一元管理の原則
情報漏洩対応において重要なことは、正確な情報の把握に努めるということです。
憶測や類推による判断や不確かな情報に基づく発言は混乱を招く結果となってしまいます。組織の情報を一箇所に集め、外部に対する情報提供や報告に関しても窓口を一本化し、正しい情報の把握と管理を行う必要があります。

(3)透明性・開示の原則
被害拡大防止や類似事故の防止、企業組織の説明責任の観点から必要と判断される場合には、組織の透明性を確保し情報を開示する姿勢で臨むことが好ましいと考えられます。情報公開により被害の拡大が見込まれるような特殊なケー スを除いては、情報を公開することを前提とした対応が企業の信頼につながります。

(4)チームワークの原則
様々な判断を迅速に行う必要があり、対応には精神的にも大きな負担がかかります。
また、経営・広報・技術・法律など様々な要素を考慮する必要があるため、担当者任せとせず、組織として対応していくことが重要となります。

(5)備えあれば憂いなしの原則
情報漏洩事故が発生した時のことを想定し、あらかじめ緊急時の体制や連絡要領などを準備しておくと、いざという時に大変役に立ちます。緊急時にどう対応するべきなのか、方針や手順を作成し、日頃から訓練しておくと安心です。

 

情報漏洩のタイプ別対応ポイント

1. 個人情報の場合
漏洩した情報に個人情報が含まれている場合には、個人情報保護法に準拠した対応が必要となります。状況により監督官庁へ報告し、また、個人情報の本人に被害が及ぶ可能性があるため、本人への通知や注意喚起など二次被害防止措置が必要となります。

2. 公共性の高い情報の場合
漏洩した情報に発電所や通信設備など社会の重要なサービス、社会の安全に関する情報など公共性の高い情報が含まれている場合には、内容に応じて関係者・監督官庁に報告をし、マスコミ等に対して情報を開示する必要が生じます。

3. 一般情報の場合
企業の情報のうち取引先等の情報が含まれる場合には、取引先に報告し、その意向に沿った対応を行います。企業秘密など組織の重要な情報が漏洩した場合には、その内容に応じた経営判断を行う必要があります。

 

紛失・盗難の場合の具体的な対応策

では、具体的にどのような対応を取ればいいのでしょうか?今回は「紛失・盗難」の場合の対応について整理します。

(1)発見および報告
「情報漏洩情報共有シート」のフォーマットを用意しておき、そこへ記録し、報告します。 ここで、紛失・盗難が間違いないか、もう一度確認します。

【事例】
・パソコンやUSBメモリなどを電車の中、飲み屋などに置き忘れた。
・パソコンやUSBメモリなどが入った鞄をひったくりに遭い盗まれた。
・置き引きや車上荒らしに遭い、パソコンやUSBメモリなど盗まれた。
・事務所荒らしに遭い、事務所のパソコンを盗まれた。
・請負業者に送ったCD-ROMが、輸送中に紛失した。

【発覚のきっかけ】
・自己申告
・警察からの連絡
・取得者からの連絡

(2)初動対応
① 何の情報がどの程度含まれていたのか、暗号化やアクセス制限の有無を確認します。
・紛失、盗難の当事者は誰か?    ・何が紛失、盗難に遭ったのか?
・紛失、盗難の対象物に格納されていた情報は何か?
・いつ紛失、盗難が発生したのか? ・どこで紛失、盗難が発生したのか?
・なぜ紛失、盗難が発生したのか? ・紛失、盗難が発覚した理由は何なのか?
② 警察へ届出。
③ アカウント情報が含まれる場合はパスワードの変更やアカウントの停止を行います。

(3)調査
企業内に残された記録から紛失・盗難にあった情報をなるべく正確に把握します。
また、予想される二次被害を確認し、被害の重要度を判定します。

<判断材料>
① 情報区分(個人情報/公共性の高い情報/一般情報)
② 情報の保護策は、何を実施していたか?
③ 影響(個人/公共インフラ/特定企業)
④ 管理上の問題点

(4)通知・報告・公表等
個人情報が含まれる場合で漏洩の恐れがある場合は、本人への通知とお詫びを行います。必要に応じて監督官庁に届出をし、規模や影響範囲が大きい場合はWeb等で経緯を公表する必要があります。

(5)抑制措置と復旧
バックアップやコピーから修復可能な情報を復旧します。

(6)事後対応
各社のポリシーにあわせ、事故の再発防止策を実施します。
建物への侵入防止、情報資産の保管方法、情報資産の持出し管理、情報の暗号化やアクセス制御、およびその徹底など、物理面、技術面、管理面、教育面など問題点を総合的に検討し改善しなければいけません。

 

まとめ

いかがでしたか?
「情報漏洩事故」発生しないのが一番いい状態ですが、事前に「起きるかもしれない」とその時のことを考え想定しておくことも大切です。
事故が発生してしまった場合、このような対応が必要になる。と院内・施設内で注意喚起として周知していただくのもいいのではないでしょうか。

情報漏洩対策にお困りであれば株式会社プロアスにお問い合わせください。
プロアスではセキュリティ対策としてUSBから情報資産管理ソフト、セキュリティサーバーの構築等、施設規模に応じた製品をご提案させていただいております。
貴院・貴施設の情報セキュリティ対策のパートナーとして是非一度ご相談ください。

プロアスへのお問合せはこちらから

プロアスでは、多数のICTツールや業務効率化システム・サービスなど、病院・クリニック・介護施設の経営のお役に立つラインナップを揃えております。まずは気軽なご相談からご連絡ください。