ページの先頭です。 メニューを飛ばして本文へ
現在地 トップページ > 組織でさがす > 健康福祉部 > 健康長寿課 > 延岡市役所職員による個人情報漏えいについて

本文

延岡市役所職員による個人情報漏えいについて

印刷ページ表示 更新日:2022年5月25日更新

この度、延岡市職員による個人情報の漏えいが下記のとおり発生いたしました。
市民の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

1.概要

発生日時:令和4年5月20日(金曜)12時15分

発生場所:延岡市役所健康福祉部健康長寿課

事案内容:延岡市内の地域包括支援センターに依頼した調査の回答に必要なエクセルデータを職場のPCから市内の各地域包括支援センター(11箇所)所有のPCに送信した。その際のエクセルデータに、回答に不必要な個人情報が含まれており、情報漏えいが発生した。

流出先:市内11箇所の地域包括支援センター
※各地域包括支援センターには、守秘義務が課されているうえ、5月20日中に全ての地域包括支援センターに送信されたファイルは削除されたことから、外部への漏洩はない。

流出件数:7,203件。(要支援認定、要介護認定を受けている全被保険者。)

流出した個人情報の内容:被保険者番号、氏名、生年月日、性別、住所、要介護度等。

2.経過

令和4年5月18日(水曜) 9時15分

  • 県より、「地域包括支援センター運営状況調査」の依頼あり。(回答期限:6月13日)

令和4年5月20日(金曜)10時36分

  • 調査票作成担当者(以下、「担当者」という。)が、延岡市内の地域包括支援センターに調査票作成依頼メールを送信した。

令和4年5月20日(金曜)11時45分頃

  • 一部の地域包括支援センターより、調査票作成に必要となる高齢者数や要介護認定者数等のデータを地域包括支援センターは持ち合わせていないため、提供するよう依頼あり。

令和4年5月20日(金曜)11時50分~

  • 担当者が前調査票作成担当者(以下、「前担当者」という。)に昨年も同様のデータを送信したことを確認。(この際に、個人情報を削除して提供する必要がある旨を確認していない。)
  • 担当者が、当該データの内容を確認し、個人情報が含まれていることを認識したが、各包括支援センターとは、介護事業に関する委託契約を締結していることから個人情報の守秘義務があり、今回の調査にも適用されると思い込んだことや、昨年も個人情報を削除せずそのまま送付したと思い込んだことから、個人情報を提供することに関して問題ないと判断した。
  • 担当者は、市が責任をもって回答を作成する意識が希薄で、各地域包括支援センターに作成してもらえば良いとの意識でメールを送信した。

令和4年5月20日(金曜)12時15分

  • 担当者が市内11箇所の地域包括支援センターへ当該データをメール送信した。

令和4年5月20日(金曜)12時30分

  • 先日、本市において、誤送信による情報漏洩があったことから、前担当者が、送信済みメールをチェックしたところ、誤送信がないことを確認したが、添付されたデータを確認した際に、個人情報が削除されていないままの状態でデータを送信していることが判明した。

3.原因

  • そもそも今回の調査は、市の責任において回答しなければならないところを担当課の意識として、各地域包括支援センターに作成してもらえば良いとの意識が長年定着してしまっていたため、回答に必要なデータを安易に各地域包括支援センターへ渡せば良いとの意識になってしまっていたこと。
  • しかも、初めて業務を担当することとなった職員に対する業務引継の際に、各地域包括支援センターに渡してはいけないデータの引き継ぎがなかった上、作業方法を口頭で大雑把に説明することのみにとどまり、書面等による業務引継が確実になされていなかったこと。
  • 担当者は、当該データに個人情報が含まれていることを認識していたものの、各包括支援センターとは、介護事業に関する業務の委託契約を締結している関係であることから、個人情報に関する守秘義務があり、地域包括支援センターが必要とする情報以外を提供しても問題ないものと誤解していたこと。
  • 昨年度も、個人情報を削除せずそのまま各地域包括支援センターへデータを提供したと思い込んだこと。
  • 個人情報を含むデータを電子メール等により送信する際は、統括情報セキュリティ責任者(企画部長)に許可を得なければならなかったにもかかわらず、許可なく個人情報をメール送信するなど、本市の情報セキュリティポリシーの規定の遵守に対する認識が不十分だったこと。
  • 個人情報を含むファイルのパスワード設定を行っていなかったこと。

4.業務委託契約にかかる個人情報の取扱い

  • 本市と各地域包括支援センターが契約を締結している「延岡市地域包括支援センター設置運営業務委託」にかかる個人情報の取扱いについては、次のとおり仕様書に明記している。

12.秘密の保持・個人情報の取り扱い

支援センターの設置・運営にあたっては、以下の事項に留意すること。

(1)支援センターの業務に従事している者、又は従事していた者は、当該業務に関して知り得た個人情報を他人に知らせたり、不当な目的に使用したりしてはならない。
(2)支援センター内での連携のため、利用者情報の共有を図る場合には、あらかじめ利用者本人から個人情報を事業目的の範囲内で利用する旨の了解を得ること。
(3)個人情報漏えい等、市に報告すべき事態が生じた時は、速やかに市に報告すること。

5.これまでの対応状況

令和4年5月20日(金曜)13時00分~13時30分

  • 健康長寿課職員が、全ての地域包括支援センターへメールの削除を電話にて依頼。
  • 13時30分までに全ての地域包括支援センターへ依頼済み。

令和4年5月20日(金曜)15時00分~16時30分

【1回目訪問】

  • 健康長寿課職員が、全ての地域包括支援センターを訪問し、お詫びとメールの削除を依頼。
  • この際に、削除されたメールが保存されるゴミ箱まで確認していなかった。
  • また、一部の地域包括支援センターでは、代表PCから各職員PCへ転送される機能が備わっていることが判明した。

令和4年5月20日(金曜)16時50分~

【2回目訪問】

  • 健康長寿課職員が、代表PCと転送された各職員PCのメール削除(ゴミ箱を含む)を確認するため、全ての包括支援センターを訪問。

令和4年5月20日(金曜)18時50分

  • 全てのメールが削除されていることの確認完了。

6.再発防止策

  • そもそも市が責任を持って対応すべき事務を安易に委託先に処理してもらうことを今後絶対に行わないよう、全庁的に国県からの調査の回答に関する業務の適正化を徹底する。
  • 再発防止のため、職員へ本市の情報セキュリティーポリシー等の周知徹底を図るとともに、適切な個人情報の管理及び取扱いを徹底する。
  • 今一度、個人情報が含まれるデータの管理においては、パスワードを設定するなどのセキュリティポリシーに係る周知徹底を図るため、早急に全職員に対する研修等を実施する。
  • 担当者が各業務における引継書を作成する際に個人情報の取扱いについて明記することを義務付ける。
  • メールの誤送信などの人為的ミス等による情報漏えいの対策として、個人情報に関するファイルについてはパスワード設定を必ず行うよう徹底するとともに自動暗号化や添付ファイル制限機能などを備えたセキュリティ対策ソフトの早期導入を図る。


上記の再発防止策を徹底することで、二度と起こさないよう努めてまいりますので、ご理解をお願いします。

皆さまのご意見をお聞かせください

お求めの情報が充分掲載されていましたでしょうか?
ページの構成や内容、表現はわかりやすかったでしょうか?
この情報をすぐに見つけられましたか?