再委託先ともなると・・・
ITmediaの記事に、 東京都、コロナ陽性者の個人情報漏えい 委託先の再委託先で派遣社員が不正閲覧、LINEで知人に送信 てのがありました。
東京都福祉保健局は6月2日、新型コロナウイルス感染者の情報管理システム「HER-SYS」の情報が漏えいしたと発表したそうです。記事によると・・・
委託事業者の再委託先で勤務していた派遣社員が不正に閲覧。メモに書き出して自宅に持ち出し、一部を知人にLINEで送信したという。
問題の派遣社員は都民37人の氏名、住所、電話番号を閲覧し、メモに記録。このうち4人の情報をLINEで知人に送ったという。メモは回収済み。
だそうです。こういった個人情報漏洩事案は枚挙に暇がありませんが、今度はコロナ陽性者の情報が漏洩したそうです。
今回のような医療情報については高度にプライバシーに関わる問題で決して容認できるものではありません。
こうした事案には今回のように”委託先”や”再委託先”のような孫請け、曾孫請けのような構造が散見されます。似たような事案として以前本ブログにて 兵庫県尼崎市が全市民46万人分の個人情報を保存したUSBメモリーの紛失を発表したそうです とのエントリーでご紹介したものがあります。
本件は大々的にマスコミでも取り上げられ、その後には USBメモリ紛失の尼崎市、無断で再委託のBIPROGYに損害賠償請求 「市のイメージダウンにつながった」 というように訴訟にまで発展する事態となりました。
再委託や再々委託自体が悪いわけではありませんが、その際に委託先の情報管理体制や社員以外が情報に関与することの有無などをしっかり確認しているかどうかが問題です。
東京都福祉保健局が委託事業者とどういった契約していたのか定かではありませんが、上記の尼崎市のように再委託が禁止されているような契約だった場合は、尼崎市同様に訴訟も含めた対応を検討していただきたいものです。
尼崎市の事案同様に委託先業者の情報管理体制を見直すきっかけになれば良いと思います。
高度な個人情報を取り扱う際には、委託先との契約をしっかり確認したいものです。