個人情報保護委員会が尼崎市USBメモリ紛失事案に関し委託先2者に行政上の対応

　個人情報保護委員会は2月22日、尼崎市USBメモリ紛失事案に対する個人情報の保護に関する法律に基づく行政上の対応について発表した。

　兵庫県尼崎市では、住民税非課税世帯等に対する臨時特別給付金支給事務における保有個人情報の取扱いを BIPROGY 株式会社に委託していたが、2022年6月21日に同社の委託先である有限会社リンクドゥの従業者が、同市全住民約46万人の住民基本台帳の情報等の個人情報を含むUSBメモリを紛失する事案が発生していた。

　同委員会ではBIPROGY 社に対し、個人情報の保護に関する法律 第143条第1項の規定に基づく立入検査等の調査を実施し、その結果を踏まえ、9月21日に個人情報保護法 第144 条の規定に基づく指導を行い、改善策の実施状況を報告するよう求めていた。

　同委員会では11月30日及び2023年1月31日に、BIPROGY 社から改善策の実施状況の報告を受け、その内容を精査し実施状況について確認を行ったところ、特段の問題は見当たらず、委員会の指導に対する一定の改善が確認できたとのこと。

　また同委員会では、リンクドゥ社に対しても個人情報の取扱いに関する問題点の有無を調査し、2023年2月22日に個人情報保護法 第144条の規定に基づく指導を行っている。

　同委員会が確認した事実関係によると、リンクドゥ社は、ソフトウェア開発業を営む従業者 10名未満の個人情報取扱事業者であるが、本件業務で同社の従業者が取り扱ってた個人データは大量かつ機微性の高い内容で、取り扱う個人データの量及び質に応じた安全管理措置を講ずる必要があると指摘している。

　また同委員会の調査の結果、リンクドゥ社にて従業者に個人データを取り扱うに際し、委託元の規律を遵守させるために必要な人的安全管理措置が十分に講じられていなかったことを確認しており、速やかに改善されるべきであると評している。

　同委員会ではリンクドゥ社に対し、個人情報取扱事業者として継続的に法の遵守に対する意識を持ち続け、安全管理措置の十分性を常に確認しながら改善策を実施し続けることが肝要であり、同委員会は2023年2月22日に個人情報保護法 第144条に基づく指導を行ったとのこと。

　同委員会は、指導を実施したBIPROGY 社及びリンクドゥ社が個人情報取扱事業者として自らの問題点を改善することに加え、委託元である尼崎市をはじめとした関係者全体が、本件事案を自らの問題とし、二度と同種事案を起こさないための意識改革と再発防止策の実施に継続的に取り組むことが必須と考えるとしている。

　なお、BIPROGY社ならびにリンクドゥ社では3月5日現在、同委員会による行政上の対応について、Webサイト上で特に公表等は行っていない。

元の記事を読む