預金保険機構(東京事務所:東京都千代田区)は27日、個人情報数十万件を含むコンパクトディスク(CD)1枚を紛失したと発表した。
同機構は銀行や信用金庫など全国の民間金融機関について一定期間ごとに検査を実施している。今回紛失したCDにはその検査用に作成した預金者データが収録されており、関西地方の一金融機関の全預金者情報にあたる数十万件の個人情報が入っていたという。情報内容は預金者名(法人含む)、生年月日、電話番号、住所、預金残高など。
発表によると、今月2日、検査担当者が同機構の検査企画課の管理担当者に当該CDを渡し、保管を依頼。17日に作業に必要なため管理担当者にCDの返却を求めたところ、保管していたはずの金庫内に見当たらなかった。
【誤って廃棄した可能性】
検査担当者が管理担当者に保管を依頼したのは、CD2枚とフロッピーディスク(FD)2枚で、預金者情報が入っていたのはそのうちのCD1枚。もう1枚のCDは空で、FD2枚にはテストデータ等のみで個人情報は入っていない。
内部調査の結果、管理担当者が確かに金庫に入れたかどうか明確ではなく、保管前に不要データ等に紛れて廃棄物を入れるBOXに入れられ、業者に処分された可能性が高いという。業者は週に1度の頻度でBOXの内容物を回収しており、2日から14日の間には2回の回収があった。そのうち1回は当該CD等が混入していないことを確認しているが、もう1回については紛失の発覚以前で、すでに廃棄処分された後だった。
現在まで情報流出は確認されておらず、また個人情報はパスワードで保護されているため、CDが万一外部の人間の手に渡っても、情報が流出し悪用される可能性は低いとしている。
同機構は26日に当該金融機関に事情を説明し、お詫びをしている。金融機関名は悪影響を懸念して公表されていない。預金者にも連絡は行われないという。
同機構は、個人情報を含むCD等の授受の確認や管理が不十分だったとして、本件発覚後は管理の一元化をはかり、CD等の手渡しを禁止するなどの措置を講じている。また今後、すみやかに対策委員会(コンプライアンス委員会)を開催し、発生原因の究明と再発防止策の検討を行うとしている。
(2009/11/30 ネットセキュリティニュース)
■預金保険機構が保有する個人情報の所在不明について(預金機構)
http://www.dic.go.jp/new/2009/2009.11.27.html