上半期における個人データの漏えい等事案を踏まえた個人データの適切な取扱いについて

個人情報保護委員会から、令和４年度上半期における個人情報保護委員会の活動実績が公表されました。上半期においては、委員会へ直接報告された個人データの漏えい等事案は1,587件と前年度上半期と比して件数が増加しており、その主なものは、病院や薬局における要配慮個人情報を含む書類の誤交付及び紛失であり、その他のものは、ウェブサイトやネットワークの脆弱性を突いた不正アクセス等でした。
個人情報取扱事業者において個人データを取り扱う場合には、個人情報の保護に関する法律（平成15年法律第57号）に則り、個人情報を適正に取り扱っていただく必要があることから、下記のとおり注意喚起しますので、ご留意ください。

１．病院・薬局における要配慮個人情報を含む個人データの漏えい等について

（１）確認された漏えい等事案の具体例
・処方箋や薬剤情報提供書、入院計画書を誤交付した事例
・お薬手帳を当該患者とは別の患者に返却した事例
・診断書等の書類を紛失した事例

（２）注意喚起事項
病歴などの要配慮個人情報は、特に慎重な取扱いが求められるものです。誤交付等は単純な事務ミスであるものの、単なる不注意（ヒューマンエラー）として片づけず、「個人情報の保護に関する法律についてのガイドライン（通則編）」（個人情報保護委員会）（以下
「個人情報保護法ガイドライン」という。）及び「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」（個人情報保護委員会、厚生労働省）を踏まえ、適切な安全管理措置を講ずることが必要であり、例えば、以下のような対応が考えられます。
・業務プロセスやマニュアルの見直し
・個人情報の取扱いに関する意識の涵養やマニュアルに基づく対応について、従業者への研修等を通じて継続的に周知徹底する

２．ウェブサイトやネットワークの脆弱性を突いた不正アクセス等による個人データの漏えい等について

（１）確認された漏えい等事案の具体例
・テレワーク等で使用するVPN機器にセキュリティパッチの適用をしておらず、脆弱性を悪用された結果、不正アクセスを受けた事例
・ウェブサイトに脆弱性がありSQLインジェクション攻撃を受けた事例取引先等になりすましたメールに添付されたファイルを開封したことでEmotetに感染した事例

（２）注意喚起事項
セキュリティパッチの適用による脆弱性への対処や不審なメール等を開封しないといった基本的な対応により、不正アクセス等を防止できるケースが多くあります。つきましては、「個人情報保護法ガイドライン」に定められている組織的・人的・技術的安全管理措置等を講ずることが必要です。
また、当委員会のHPに公表している「WARNING～クラウドサービスやテレワーク環境を利用する際の個人情報の漏えい事案に関する注意喚起～」や「WARNING～ウェブサイトを運営している事業者の皆様への注意喚起～」に記載されている対策例も参考にしてください。

・個人情報保護法ガイドライン
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

・医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス
https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance/

・WARNING～クラウドサービスやテレワーク環境を利用する際の個人情報の漏えい事案に関する注意喚起～
https://www.ppc.go.jp/personalinfo/hiyarihatto#warning

・WARNING～ウェブサイトを運営している事業者の皆様への注意喚起～
https://www.ppc.go.jp/personalinfo/hiyarihatto#warning