平成 26 年 12 月 26 日各位特定非営利活動法人さらプロジェクト理事長根本一惠個人情報セキュリティ事故に関するお詫びこの度、個人情報を含む USB メモリを紛失する事故が発覚いたしました。このような事態を招きましたことは誠に申し訳なく、関係各位に、多大なご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。職員一同、今回の事態を厳粛に受け止め、本法人をあげて再発防止に取り組むとともに、個人情報の適正管理を徹底してまいりますので、何卒ご理解の程よろしくお願い申し上げます。１．発覚および漏洩内容の特定までの経緯 2014 年 11 月 20 日頃、個人情報保護対策の一環として暗号化付 USB メモリ採用に伴い、旧 USB メモリを回収することとなり紛失が発覚。この USB メモリには、電子ファイルが数百程度保存されていたが、大半は「課題集」である。個人情報が含まれるファイルにはパスワード保護の対策がなされており、機微情報は含まれていない。また、USB メモリ内にはメールソフトがインストールされており、他事業所に移動した際などに使用していた。メール数は 2,000 程度（3 ヶ月分程度）が保存されていたと考えられる。パスワード保護の対策はなされていなかったが、メール内には機微情報はない。２．本法人の過失について個人情報の保護および漏洩防止には最大限の対策をはかってきた本法人ですが、以下の管理項目に不徹底・不備があったことを認めます。・情報システム・リスク責任者は、法人内の可搬型外部記憶媒体の利用状況を把握する。以上の点に不徹底があったことが結果的に今回の事件を招く原因となりました。また、情報システム面でのセキュリティ対策は常時向上させてきたものの、それと両立すべき職員のコンプライアンス意識の啓蒙・ルール遵守の徹底が不十分であったことも同様です。３．今後の対策について「JIS Q 15001:2006 個人情報保護マネジメントシステム – 要求事項」で要求される、組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置を含むすべての管理項目の徹底的な再検証を行います。また、この度の事故の経緯を全職員に理解させ、セキュリティ指針に基づいた正しい業務が実施されているかを徹底的に調査し、個人情報の取扱いについてさらなる理解向上に努めます。４．本件に関するお問い合わせ先特定非営利活動法人さらプロジェクト個人情報保護マネジメントシステム事務局 TEL：03-5944-9123 FAX：03-5944-9124 E-mail：[email protected] 以上