〜機密文書が放置されている事例〜 (信用金庫)
営業店において、不渡り事故発生報告等の個人情報が記載された書類が閉店後のロビーや事務スペースに放置されている事例。
(平成 20 検査事務年度)
~顧客情報の管理不足による、未施錠の倉庫での個人情報の放置~(信用金庫、信用組合)
顧客情報管理部門は、各営業店の顧客情報を含む文書の管理状況について、実態を把握するなどの取組を行っていないことから、顧客情報管理台帳に掲載されていない伝票や自己査定資料等が未施錠の倉庫等に放置されている。
(平成21検査事務年度)
おおむね、保管文書(活用文書)は「金融分野における個人情報保護に関するガイドライン」に従っての管理を意識していると思いますが、使用期間が終了した保存文書となると、とたんに管理レベルが低下し、意識が希薄となります。
本来は、保存文書になっても廃棄されるまでの厳格な管理を要求され、あるべきものがあるべきところにあるのが求められます。
保管文書は電子データへのシフトが比較的普及していますが、保存文書の紙文書の管理も目を向け、行員作業負荷軽減の為にも何らかのシステム化が必要と考えます。
もし金庫室など施錠がかかるセキュアなスペースに空きがない場合は、自社の文書管理センターや外部の専門会社に文書保管の活用を検討されたほうが良いでしょう。
~顧客情報のアクセス履歴管理~(銀行)
顧客情報管理部門は、個人データ管理規程において、情報を外部に持ち出す際には記録表に記載することとしているが、記載すべき内容を明確に定めていないため、持ち出す情報が記録表に正確に記載されていない。このため、複数の営業店において、渉外担当者の持ち出した情報を特定できない事例が認められる。
(平成21検査事務年度)
顧客情報の持ち出しは、情報漏洩や紛失などの情報セキュリティインシデントにつながるため、厳重な管理が必要です。アクセス管理・履歴管理を厳格に行える業務のシステム化をオススメします。
~文書管理、廃棄ルールの未整備~(保険会社)
顧客情報管理部門が、文書管理や廃棄ルールを明確に定めていないことから、一部営業店において、顧客情報管理台帳に記載漏れが認められるなど、営業店間で取扱が異なっているほか、顧客情報を含む廃棄予定の文書等を営業店内の通路等に放置している実態が認められる。
(平成21検査事務年度)
営業店間で取扱が異なっているという事は、文書管理規程の問題であるか、規程を遵守しなくてよい環境であることとなります。
営業店間でしっかりした取扱方法が定まっていない場合の弊害としては、人事異動による移動先での作業効率低下と共に、不慣れな運用から派生する紛失・誤廃棄などが高まります。
規程見直し、運用見直し、システムの導入・刷新・改善が早急に望まれます。
廃棄予定文書の放置を防ぐためにも、廃棄システムの導入も検討されたほうが良いでしょう。
~個人情報を含む書類の管理不足~(保険会社)
書類管理について、顧客情報統括管理責任者は、本部各部が、業務委託先から個人情報を含む書類を徴求した場合の具体的な返却期限や管理手法を定めていないことから、本部各部において、同委託先から徴求した書類の管理が担当者任せとなっており、個人情報を含む書類が未施錠のまま事務室内に長期間放置されている事例が多数認められる。
(平成20検査事務年度)
文書管理主幹部門が、全社の文書状況を確認できる仕組みが必要です。
定期的に出庫中の書類状況を把握(システム抽出)でき、それを基に各部への確認が取れる体制構築が必要です。
社内文書の管理ルール見直しと同時に委託先の見直し・選定も検討されたほうがよさそうです。
~顧客情報へのアクセス、履歴管理~(信用金庫・信用組合)
顧客情報管理について、顧客情報管理部門は、営業店における顧客情報の持出し状況を記録することなく、所属長の口頭承認のみで可とする取扱いとしていることから、外部に持ち出された顧客情報の管理が行われておらず、持出し書類の特定や紛失の確認が出来ないなど、不適切な管理態勢となっている。
(平成20検査事務年度)
顧客情報が含まれる情報・書類の管理に関しては、履歴管理・アクセス管理・台帳管理によるステータス状況の確認が重要です。また口頭承認ではなく、履歴を残せる仕組みでの管理が必要でしょう。
