一般財団法人日本健康文化振興会は4月2日、3月27日に公表した職員によるノートパソコン紛失について、続報を発表した。
これは同会職員が3月17日(月)の出勤時に、同会が貸与しているPCを収納した当該職員が所持するカバンを紛失したというもの。当該職員は警察に被害届を提出している。
当該職員の初回報告では「個人情報等のデータは含まれていない」とのことだったが、同会では事実確認のため当該PCのログ情報をLANSCOPEを用いて確認していたところ、報告とは異なる要配慮個人情報を含む個人情報が保存されていたことを3月20日に確認している。なお、LANSCOPEのログからファイル名やフォルダ名の確認作業が必要となったため、時間を要したとのこと。
同会ではPCを社外に持ち出す場合、事前に申請をする必要があり、データ保存先を「ダイレクトクラウドボックス」のみに限定していたが、当該職員はこれらを怠っていたにもかかわらず、自宅で一部の業務を行う目的で3月14日(金)の退勤時に当該PCをカバンに入れ持ち帰っている。
紛失したPCには、ヘルスネット事業と異なるサービスの委託元7社から預かった要配慮個人情報(ファイルまたはデータ数約5,300件)と、個人情報(現在確認中を含む検診対象者や受診者情報)、同会役職員情報(特定個人情報、要配慮個人情報を含む)が保存されていた。
同会では現段階で、要配慮個人情報が漏えいした可能性に該当する取引先に連絡を行っている。
当該PCはシャットダウンされた状態で、Windows11 のビットロッカーと、ログインには同会規程のパスワードが必要となる。また、同会ネットワークは外部からの接続を許可しておらず、社内ネットワークへの接続は困難という。外部サービスである「ダイレクトクラウドボックス」「けんしんナビ」「office365」の当該職員アカウントは停止済み。
同会では3月21日に、個人情報保護委員会に専用WEBサイトの専用フォームから速報を行っている。当該報告については、個人情報保護委員会より同会が連名で報告することで、該当する取引先からの報告を省略可能との見解だが、一部の取引先については「個人情報保護法上の報告」が必要という。
また同会では3月21日、一般財団法人日本情報経済社会推進協会(JIPDEC)の報告用専用 WEBサイトに不具合があったため、JIPDECに問い合わせ、3月24日にJIPDEC指示のもと、専用報告書(ワード形式)を入手し、アップロードにて速報を報告している。
同会では今後、厳重な管理を徹底するとともに、全職員に対する教育・指導を再徹底し、より一層の危機意識をもって再発防止に努めるとのこと。
