C
月内に
北海道がんセンターが廃棄したPCの内蔵HDDが、委託先の処理不備により破砕されず外部に流通していたこと
📌 一言でいうと
北海道がんセンターが廃棄したPCの内蔵HDDが、委託先の処理不備により破砕されず外部に流通していたことが判明しました。回収されたHDDからは、患者約8,800人分、延べ約2万5,000件の個人情報(氏名、住所、病名、検査結果など)が保存されていたことが確認されています。委託先への破砕処分の依頼にもかかわらず、適切に処理されなかったことによる情報漏洩事案です。
🔍該当判定
- PCやサーバーの廃棄を外部業者に委託している
- 廃棄時にHDD/SSDの「物理的な破砕」を業者に依頼したことがある
- PCを廃棄する前に、自社で専用ソフトを用いたデータ完全消去を行っていない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
廃棄デバイスの物理破壊(破砕)を委託する場合、作業完了報告書や証明書の提出を義務付け、必要に応じて抜き打ちの監査やサンプリング確認を実施すること。また、物理破壊前にソフトウェア的なデータ消去を自社で実施することを推奨する。