書類紛失事故の検証・周知徹底不足(銀行)
事務リスク管理部門は、営業店における顧客情報管理の実態把握や、情報漏えい事故の発生状況・原因の分析を行い、再発防止策を講じることとしている。こうした中、営業店において、預り証の紛失が発覚しているなど書類の紛失事故の発生件数は高止まりの状況にある。しかしながら、同部門は、当該事故の検証を十分に行っておらず、事故発生店が策定した再発防止策を他の営業店に周知するなどの対応を行っていない。このため、複数の営業店において、受領した書類を事務処理中に紛失している事故が発生している。
(平成23検査事務年度)
顧客情報の紛失というセキュリティインシデントが発生していることを会社全体に周知徹底し、再発防止の対策に取り組むべきです。営業店での顧客情報管理ルールやシステムの導入をおすすめします。
事務管理センターでの文書管理不備(銀行)
事務リスク管理部門は、「事務リスク管理規程」に基づき、各営業店等に対して、事務ミス等を防止する観点から自店検査を行わせるとともに、その結果を検証した上で、必要に応じて指導を行うこととしている。しかしながら、同部門は、各営業店等に対して、適切な自店検査の手法を周知徹底しておらず、また、自店検査の実態を十分に把握していない。
こうした中、コールセンター及び事務センターにおいて、不備事案が発生しているにもかかわらず、自店検査の際に見逃されている事例が多数認められる。
(平成23検査事務年度)
全拠点の文書を集中管理する事務管理センターにおいて、保管や廃棄ルールが徹底されていない状況は非常にリスクが高いです。事務管理センターがアナログ的に運営されているケースも多いため、全社の文書管理ルールを見直すとともに、早急に事務管理センター・営業店・本店を統合管理できる文書管理システムの導入をおすすめします。
保存年限を満了した顧客情報を含む文書が適切に管理・廃棄されていない(銀行)
事務リスク管理部門は、「顧客情報管理マニュアル」を策定し、顧客情報管理台帳(以下、「台帳」という。)を作成・更新管理するために必要な事項を定めている。 また、同部門は、前回検査の指摘を踏まえ、営業店に対して通達を発出し、台帳に記載すべき個人データの洗出しを行わせ、台帳の更新作業を指示している。
しかしながら、同部門は、営業店における顧客情報の管理状況について、臨店指導による検証を十分に行っていないことから、顧客データを含む電子媒体の一部が台帳に記載されていない事例や、保存年限を経過した顧客情報を含む文書が廃棄されず、書庫に大量に放置されている事例が認められる。
(平成23検査事務年度)
臨店指導を行わなくても、各営業店でルールに沿った文書管理を行えるような仕組みづくりとシステム化が求められます。文書管理コンサルティング・文書管理システム導入をおすすめします。
〜事務管理リスク及び文書管理の不徹底〜(信用金庫)
預り物件の取扱いについて、事務統括部門は、事務取扱要領等で、管理すべき預り物件を現金や通帳等に限定しており、保証委託申込書や金銭消費貸借契約書等の融資関係書類等に係る取扱いを規定していないことなどから、担当者限りで融資関係書類を保管し、受取書の発行及び管理簿への記録を行っていない事例が認められる。
(平成20検査事務年度)
まずは社内文書の洗い出しを行い、文書ごとの管理ルールの策定が必要です。文書管理コンサルティング・文書管理システム導入をおすすめします。
~情報文書管理規定に反し、契約書の写し等の情報文書を施錠できる場所以外に保管~(銀行)
・営業店監査について、監査部門長は、部店長に対して不定期に重要保管物検査の実施を指示することとしている。こうした中、監査部門は、顧客からの契約書等を頻繁に預かっていることから部店長検査を指示する必要がある特定の営業推進部署に対して、これまで営業店監査を実施していないほか、部店長検査を指示していない。このため、今回検査において、営業推進部門が情報文書管理規程に反し、契約書の写し等の情報文書を施錠のできる場所以外に保管している事例が認められている。
・ 監査部門は、文書誤廃棄事故の再発防止策の一つとして、保存処理が未済のままの書類が保管されていないかを監査すべき項目として新設しているが、保存文書と保存文書台帳を照合するなど深度ある監査を実施していない。このため、今回検査において、個人情報管理台帳に記載しないまま個人情報を保管している事例等が多数認められている。
(平成22 検査事務年度前期版)
日々発生する文書や帳票類が、各営業店で整備されるためにはルールとともに仕組みの構築が必要です。また、営業店に負荷がかかるようなアナログ的な仕組みでは維持管理に無駄な人件費が発生し、また厳格に管理することもできません。 まずは営業店の文書管理におけるリスク事項やボトルネックを洗い出し、システム化することが理想的です。全支店の調査・管理は時間と手間がかかるため、文書管理コンサルティングと文書管理システム導入で改善しましょう。
~顧客情報の紛失の発生原因の分析や持出ルールの明確化など対策を十分に行っていない事例~(銀行)
顧客情報管理責任者は、情報漏えい等の発生状況について、定期的に経営会議に報告しているほか、事故発生営業店への指導を徹底することとしている。また、顧客情報漏えい事故については、内部監査において、多数の営業店で保管・持出などの情報管理の不備が指摘されている。しかしながら、同責任者は、増加傾向にある顧客情報紛失の発生原因分析や持出ルールの明確化など、再発防止策への取組を十分に行っていない。こうした中、依然として複数の営業店において、顧客情報の持出などによる紛失といった情報管理の不備による漏えい事故が発生している。
(平成23 検査事務年度前期版)
情報セキュリティインシデントが発生している以上、全社的に課題に取り組み、改善・対策すべきです。顧客情報の持ち出しルール・運用方法を策定し、管理部門が常に管理・監視できるようにシステムの導入が必要でしょう。文書管理コンサルティング・文書管理システムの導入をおすすめします。
~ローン契約書の紛失が繰り返し起きているにも関わらず、経緯の確認を行っていない事例~(信用金庫及び信用組合)
理事会は、顧客情報漏えい事案の原因調査について、「顧客情報管理マニュアル」を定め、同マニュアルに基づき、関係業務部門に原因調査を行わせ、顧客情報統括責任者へ報告させることとしている。
しかしながら、同部門は、営業店からローン契約書の紛失が繰り返し報告されているにもかかわらず、同契約書の管理手法や紛失に至った経緯の確認を行っていないほか、他の営業店において同様の事案が発生しているかどうかについて調査を行っていない。こうした中、同契約書の紛失に加え、それ以外にも所在不明となっている契約書が複数認められる。
(平成23 検査事務年度前期版)
営業店での契約書管理全体を見直すべきでしょう。全営業店と文書管理センターを一元管理できるシステム導入をおすすめします。
~顧客情報の管理不足による、未施錠の倉庫での個人情報の放置~(信用金庫、信用組合)
顧客情報管理部門は、各営業店の顧客情報を含む文書の管理状況について、実態を把握するなどの取組を行っていないことから、顧客情報管理台帳に掲載されていない伝票や自己査定資料等が未施錠の倉庫等に放置されている。
(平成21検査事務年度)
おおむね、保管文書(活用文書)は「金融分野における個人情報保護に関するガイドライン」に従っての管理を意識していると思いますが、使用期間が終了した保存文書となると、とたんに管理レベルが低下し、意識が希薄となります。
本来は、保存文書になっても廃棄されるまでの厳格な管理を要求され、あるべきものがあるべきところにあるのが求められます。
保管文書は電子データへのシフトが比較的普及していますが、保存文書の紙文書の管理も目を向け、行員作業負荷軽減の為にも何らかのシステム化が必要と考えます。
もし金庫室など施錠がかかるセキュアなスペースに空きがない場合は、自社の文書管理センターや外部の専門会社に文書保管の活用を検討されたほうが良いでしょう。
~管理台帳の正確性が確保されていない~(信用金庫、信用組合)
顧客情報管理部門は、顧客情報管理態勢に係る問題点を把握するため一斉点検を行い、その際に営業店が保有している個人データの申告を受け、顧客情報管理台帳を整備している。しかしながら、同部門は、文書管理規程を踏まえた個人データの申告を行うよう営業店に示していない。このため、当該営業店からの申告において、一部の個人データが漏れており、同申告をもって作成された顧客情報管理台帳の正確性が確保されていない。
(平成21検査事務年度)
いくらルールを策定したとしても、実行に移されなければ意味がありません。営業店が台帳整備をしやすく、また管理部門が全営業店を一括で管理できるシステム化をオススメします。
~ATMジャーナルの誤廃棄~(信用金庫・信用組合)
顧客情報が記入された帳票等を含む保存文書の廃棄について、顧客情報管理部門は、文書等廃棄計画を策定していないほか、各部店長も廃棄文書目録を作成していないなど、規程に定める手続きを行っておらず、各職員の判断により随時廃棄を行っていたことから、大量のATMジャーナルを誤廃棄している事例が認められる。
(平成20検査事務年度)
誤廃棄は、文書の年限管理ができていなく、年に数回行う廃棄の際に間違って捨ててしまうということが多いです。文書を廃棄する際には、ワークフローにより複数関係者や上長の確認を取り、廃棄したことを確認するためにもログ管理が必要です。アナログ的な管理では、再発するリスクが高いです。文書が発生したときに年限登録できる仕組みを導入し、廃棄に関しても管理できるシステムが必要です。文書の発生から廃棄までを管理できる、文書管理システムの導入をおすすめいたします。
