こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」11月16日の放送内容を一部抜粋してご紹介しております！

ニュース解説へ！

プライバシーマークを取得した企業から報告があったインシデント件数についての記事です。その件数や原因について、内容をみていきましょう。
記事には「プライバシーマーク付与事業者からJIPDECおよび審査機関に報告された個人情報取扱いにおける事故等について、取りまとめ集計したもの。」とあります。プライバシーマーク付与に関する規約の第11条には、プライバシーマークを取得した企業で個人情報が漏洩するなどのセキュリティインシデントが発生した場合、可及的速やかに関係審査機関に報告しなければならない、とされています。
その件数について。記事には「2019年度は、985の付与事業者から2,543件の事故報告があり、報告事業者数、事故報告件数ともに2018年度の事業者数912社、事故報告件数2,323件と比べ微増、2019年度末時点の付与事業者数に占める事故報告事業者の割合は6.0％で、2018年度5.6％と比べ微増している。」とあります。引き続き、個人情報が漏洩するセキュリティインシデントが一定数発生しているということがわかります。
その原因について、記事には『事故原因としては、「誤送付」（1,513件：59.5％）のうち「メール誤送信」（590件：23.2％）が最多で、次いで「その他漏えい」（446件：17.5％）、「宛名間違い等による誤送付」（400件：15.7％）となった。「その他漏えい」のうち「プログラム/システム設計・作業ミス」が2018年度の50件から160件に増加した。』とあります。

ヒューマンエラーによる事故を防ぐためには

属人性を排除するための仕組みを導入することが必要です。メール誤送信の例を挙げると、各個人任せになっている宛先などの確認を仕組化することです。最近では複数のベンダーからメールの宛先などをチェックするSaaSがリリースされています。外部のドメインにメールを送信する際に、宛先やタイトル、本文や添付ファイルなどをあらかじめ設定されたフローに従ってチェックします。これはあくまでも一例ですが、少しでも人の判断を局所化し、自動化や作業化できる範囲を増やすことで、ヒューマンエラーを減らすことが可能です。
属人的なセキュリティ体制は品質のブレを招き、網羅的なセキュリティ体制を安定して維持することが困難になります。特定の人に依存したセキュリティ体制は、組織にとっては大きなリスクであるということです。

その他、お答えいただいた質問はこちら！

質問）プライバシーマークは、「事業者にとっては法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールする有効なツール」であるとの事です。自分が担当しているお客様がプライバシーマークを取得していればセキュリティも完璧？と感じるのですが、こういう認定制度ってやはり効果的なんでしょうか？

放送の全編はこちら！

記 にしもと