2020.11.27

好きに変えて良いの？利用目的変更の条件。

  個人情報の利用目的は決まっているものと、以前の記事でも触れていますが実は法律上・プライバシーマーク上で利用目的は変更しても構わない。となっています。 ある程度具体的に利用目的を定めなければならないのに変えていいの？と疑問に思う人もいるのでないでしょうか。 ルール・制限はありますが、実のところは利用目的を変更して扱うことは違法でもルール違反でもありません。 今回は利用目的の変更に関する内容や手順について触れてみたいと思います。   【利用目的変更がOKな根拠】 そもそも、個人情報の利用目的は変更することができるのでしょうか・・・ 個人情報保護法には根拠となる条文があります。 「個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。」 ※個人情報保護に関する法律　15条　2項から抜粋   元々の利用目的と関連性があれば、利用目的を変更することは法律上認めています。 言い換えると本人が予想できないような、利用目的への変更は不可になります。 【利用目的の変更がOKな例】 対象：A社に勤める従業員の情報 元々の利用目的：給与計算、雇用の管理に関する手続き 変更(追加)する利用目的：A社HPでのスタッフ紹介や会社イベントの写真の掲載   【利用目的の変更がNGな例】 対象：A社に勤める従業員の情報 元々の利用目的：給与計算、雇用の管理に関する手続き 変更(追加)する利用目的：A社が新たに取り扱いを始めた美容商材のカタログを送付、会員登録   OKな例は働いている内容の紹介と言える内容となっており、利用目的変更の例としては関連性があると判断されます。 一方、NGな例は従業員の情報のサービス・事業の内容に変更する形になっているので、関連性があるとは認められない例となってきます。   【どうやって変更するの？】 では、具体的にどうやって変更するのでしょうか。 個人情報保護法では、以下のような条文があります。 16条　利用目的による制限 第十六条　個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 ※個人情報保護に関する法律　16条　1項から抜粋   条文に記載のある通りなのですが、「あらかじめ本人の同意を得る」ことが求められています。この場合ですが、口頭の同意でもOKなのか、書面などでの同意が必要なのか。 条文上では明確な定めがありませんが、書面での同意があった方がベストだと考えられます。   【プライバシーマーク上必要な手順】 一方プライバシーマークを取得している会社で利用目的の変更を行う場合はどうでしょうか。 同意を得ることまでは変わりありません。同意においては書面などで明確に同意を得ることが求められています。 それ以外にも同意を得る以前に社内で利用目的の変更を行う上での承認を書面で個人情報保護管理者(Pマークの責任者)から得ることが必要となってきます。   【終わりに】 会社で持っている個人情報について利用目的を変更できることにビックリされている方もいあるかと思います。 個人情報保護法を作っている国としても個人情報の利活用をして経済を回すことが目的でもあるので、関連性があればうまくその情報を使うことでビジネスの発展に繋げていきたいと考えています。   違法・不当にならないように専門家の意見を聞きながら会社の個人情報を使っていけれるとビジネス活用がうまくいくことにもなります。        

2020.11.23

添付ファイルはそのまま送ってOK？パスワード付きzipファイル廃止の発表についての見解

先日、中央官庁でパスワード付きzipファイルによるメールでの添付ファイルの送信を廃止する旨の発表がありました。 それに伴い、プライバシーマーク制度を扱っているJIPDECなどもパスワード付きzipファイルでのセキュリティ対策を推奨しないことを発表するなど、情報セキュリティ・個人情報保護の世界にかなりの衝撃が走っています。   無駄を省く意味では画期的な発表でもあります。   そもそも多くの会社で使われているこのセキュリティ対策ですが、下記のような流れになります。 ①添付するファイルを､適当なパスワードを使って暗号化したZIPファイルに変換する。 ②zipファイルをメールに添付して送信する。 ③続いてそのzipファイルのパスワードをメール送信する。   企業のセキュリティ基準にも明記されているものとなるので、「効果あるのかな？」と思いつつも、毎日行っている方も多い人もいるのではないでしょうか。   この画期的な発表により、今後会社でのメールでの情報送信はどのように変わってくるのでしょうか。 添付ファイルはどんなものであっても、そのまま送ってしまって大丈夫？？それとも昔に戻って紙やCD-Rなどを郵送する？？ 今回はパスワード付きzipファイルの扱いについて、書いてみたいと思います。   【なぜ、パスワード付きzipファイルを廃止するのか】 河野太郎大臣がはじめた「目安箱」のデジタル庁版「デジタル改革アイデアボックス」は、広くデジタル化への意見やアイデアを広く募っているものとして注目を集めています。 「パスワード付きZIPファイルの添付廃止」の廃止のキッカケはこちらでの提案であり、そこから平井デジタル改革担当大臣の発表にいたります。     暗号化した添付ファイルを送って、その直後にパスワードが来るPPAPと言われる日本特有のメールの悪慣習。 セキュリティ上も意味がないと言われているし、管理を煩雑にしている。 行政はPPAPをやめるとともに、PPAPメールは受け取らないとしたらどうか。 ※デジタル改革アイデアボックスPPAP(暗号化zipの添付廃止)から引用   廃止の理由として、下記を挙げています。 zipファイルのパスワードの扱いは、セキュリティレベルを担保するための暗号化ではない 押印廃止と同様に「今までやってきたからみんなやって」ことにすぎない。 スマホでメール内容を確認できないのも致命的 廃止の会見時に「パスワード付きzipファイルに代わる新しい手段については、デジタル改革アイデアボックスで募集したい」とも話をされていました。   それ以外にも下記のような懸念事項が考えられます。 誤送信の対策として意味がない　※最近はパスワードが自動送付されるツールも多く意味をなさない セキュリティの対策として意味がない　※パスワード自体は10桁程度であればフリーソフトによる総当りで開いてしまうため クライアントへマルウェア付きの添付ファイルを送ってしまった場合、暗号化されるためスキャンができず素通りしてしまう　※最近流行っているemotetで悪用されており、後続のicedIDでも添付ファイル暗号化が確認されている   ではこれらについて解説を加えて行きたいと思います。   情報セキュリティ上、意味のない作業 添付ファイルを暗号化すること自体は情報セキュリティ上有効なものではあります。 1つ付け加えると暗号化を解除するパスワードはメール以外の方法で相手に渡すことが出来てようやく担保されることです。   ですが、「同じメールで続けてパスワードを送る」ことは、「メールは盗聴される可能性があるので危ない」ので、実は何の意味もないこと作業になっているのです。 企業における情報セキュリティ・個人情報保護の意識の向上により、メール暗号化の一種であるS/MIMEの方式などはなかなか手間もかかり大変なものでもありました。   そんななか、多くの企業で採用されたのが、「誤送信対策上有効である」と推奨されてきた「パスワード付きZIPファイル」になります。 これはプライバシーマークの審査機関でも推奨されるリスク対応策として認知され、プライバシーマークを取得している企業の多くで実施され、実施されていない場合は指摘されたりもしていました。   JIPDECの突然の発表 プライバシーマークの認証機関でもある一般財団法人日本情報経済社会推進協会（JIPDEC）が「パスワード付きファイルのメール送信は以前から推奨していない」と突然見解を公表しました。     ※一般財団法人日本情報経済社会推進協会（JIPDEC）からの公表文引用 これは画期的な発表でもありますが、多くの審査においては「パスワード付きZIPファイル」を行うことを審査で指導していた実情もありますし、推奨していないにしても行っているプライバシーマーク取得企業に対して、「推奨していない」旨をこれまで一度も話をしていなかったことは、少し無責任だと考えます。     ※情報サービス産業協会審査基準から引用   実際に一部のプライバシーマーク審査機関では上記の23条に記載の通りで、「個人情報を含む添付ファイルにはパスワードの設定などの措置を講じること」と審査の基準にも記載されています。 JIPDECにはプライバシーマークの認証機関として正しい指導をしてもらいたいところです。   添付ファイルのセキュリティチェックのすり抜け 最近、EMOTETやIcedIDと言ったマルウェア(ウイルス)が世間を賑わせ、猛威を奮っています。 これらのマルウェアは添付ファイルに身を潜め、受信者に添付ファイルを開かせることで感染するのですが、「パスワード付きZIPファイル」で送られてくることも多いのです。   パスワード付きZIPファイルはパスワードがないと開くことが出来ないのは当然のことです。 そのため、ウイルス対策ソフト等によるチェックが効かずマルウェアが仕込まれた添付ファイルを受信していしまうリスクが高まってきます。   欧米などでは「パスワード付きZIPファイル」をブロックしている状況も増えてきています。 日本でもfreeeがパスワード付きファイルのメールを受信拒否を公表しています。 ※freee株式会社によるプレスリリースから引用 業務効率の低下 「パスワード付きZIPファイル」は送信者・受信者ともに作業への負担をかなり多くします。 1か月手作業でパスワード設定やメールを送信する行為をすることで5時間～6時間時間を使ってしまう。という見解もあります。   また、スマートフォンでは「パスワード付きZIPファイル」を開くことにも一苦労するため、現代の仕事の仕方には合っていない可能性も高いと言えます。     これからの電子ファイルの送付方法 では、今後はどのように電子ファイルを送付することになるのでしょうか。 下記のような方法が考えられます。 メール以外の手段でパスワードを伝える 従来通り。パスワードロックはしつつもパスワードは別手段で送付する。これは従来通りの手段である意味一番安全かもしれません。 ショートメッセージ、電話、チャットツールなど、メールとは別の手段でパスワードを伝える形です。 事前に示し合わせていれば、都度変える必要もないかと思います。 ですが、上述した「パスワード付きZIPファイル」を受信拒否する企業に対しては無意味なものです。   別のコミュニケーションツールの利用 最近はチャットワークやslackと言ったチャットツールがメールに代わるコミュニケーションツールとして利用されています。 こういったものでファイルを送付することに完全切り替えることも1つです。 ツール内は暗号化もされており、安全でもあると言えます。   オンラインストレージの利用 box、GoogleDriveと言ったオンラインストレージを使い、ファイルのリンクを送ることも1つの手段になります。 この方法でもやり方はいろいろとあります。 共有ストレージの作成 送り先とファイルを共有するフォルダを作っておき、送付を目的とするファイルのリンクを送る形です。 この方法ですと万が一メールを誤送信してしまったとしても、共有フォルダにアクセスする権限がなければファイルを開くことも出来ないので安心です。 ファイル送付用サービスの作成 もう1つはファイル送付に特化したサービスの利用です。 以前からファイル容量の多いものを送る時に使われていたものを常時利用に転用する形です。   そのまま添付して送る 極論かもしれませんがZIPも何もせずそのまま送る形です。 EMOTETやIcedIDといったマルウェアが流行している現状ですとウイルス対策ソフトなどで検査が行われる添付ファイルの方が安全ある可能性が高いという考えです。 「パスワード付きZIPファイル」を受け取り拒否する会社が増えつつある状況ですと、さほど機密性が高くないファイルはそのまま送ることも安全かつ確実かもしれません。   まとめ 意味があるのか。と悩みながらやってきた「パスワード付きZIPファイル」ですが、今回のデジタル化の流れの中で身近なところが大きく変わった。と思われる方も多いのではないかと思います。 ですが、これまで長年やってきたことにもなるので、いきなり廃止となると戸惑い、不安も多いのではないかと思います。 自分の会社ではどうすべきなのか。など悩まれる方はぜひご相談ください。   関連記事：PPAP形式とは何か

2020.11.17

個人情報の開示等の請求って何？もしものための準備をしましょう。

  個人情報保護法の中で、会社に対して自身の個人情報を開示や削除を要求する権利があります。   いわゆる、開示等の請求です。   日本では個人情報保護法に則ったこの開示等の請求がなかなかなされていない現状もあり、事例が乏しいところす。 実際に会社としては開示等の請求があった場合にどう対応したら良いのか。が分からないことが非常に多い状況です。 今回はそんな開示等の請求についての流れをお話したいと思います。   【開示等の対象となる個人情報】 まずはどんな情報がこの開示等の対象になるかです。 基本的には下記のようなものが対象例になります。 ・会社の従業員情報 ・直接取引する相手先の情報 ・ECサイト等であれば、サイトの利用者・購入者情報   端的に言い換えると自分(会社)が直接個人情報の本人からもらった情報・それに関連する個人情報が対象になります。 言い換えると委託・受託の関係で委託元から一括でもらった個人情報は開示等の対象外と考えてもらって大丈夫です。   ざっくり定義を話したとしても、いざ本番となるとどこまでが対象か把握出来ないかと思います。あらかじめ、リストを作成するなどして対象となる個人情報にどんなものがあるのか作っておくといざという時に途方に暮れることがないと思います。   【開示等にはどんな種類があるのか】 開示等と一括りにしていますが、実はいろいろと種類があります。 利用目的の通知：どんな目的で自分の個人情報を利用しているのか明確に教えて欲しい 開示：会社が自分の個人情報についてどこまでどんな情報を知っているのか教えて欲しい 訂正、追加、または削除：開示された個人情報に対して内容の訂正、追加、削除を要求する 利用又は提供の拒否：実際に自分の個人情報を使うことを停止してもらう   これだけのことが「開示等」の一言の中に含まれています。 これらの内容、関係性をなかなか全て詳細に把握している人もいないかと思いますが、把握出来ていないと、いきなり俺の情報を削除しろ！と言われて削除してしまう。なんてことが起きる可能性があります。 【対応前の準備】 次に準備しなければならないことですが、下記ような準備が必要です。 ・申請、回答書式等の用意 ・窓口、担当者の設置 ・連絡先等の文面作成、公表 まずは書式の準備です。 開示等を請求する時の申請書とその回答を説明する回答書のようなフォーマットが必要になります。 申請書には「請求者の氏名」、「住所等の連絡先」、「本人確認した書類の種類」、「請求内容」、「会社が個人情報の提供を受けた時期や方法」、「代理人が請求するのであればその詳細」などが必要になります。   回答書については、実際に結果を書くことになるので、ある程度フリーフォーマットでも良いでしょう。 次に「窓口・担当者の設置」ですが、責任者・担当者は明確に定めてください。電話に出た人が勝手に対応するなんてことがないようにしなければなりません。 プライバシーマークを取得している会社であればプライバシーマークの責任者が就くことが多いかと思います。それ以外ですと個人情報を一番扱う部門の責任者や担当する役員の方なども例になります。 責任者・担当者を決めたら、必ず社内に周知をしてください。 先ほど触れた通り、電話に出た人の勝手な判断で対応することを防ぐためです。開示等の請求の問い合わせが来たら、担当に電話を回す。が重要です。 個人情報の開示等の請求の際にはクレームになっている可能性も否定が出来ず、不十分な対応やたらいまわしはトラブルの元になります。   3つに目には「連絡先等の文面作成、公表」です。 「開示等の請求の流れ」、「連絡先(電話・メール等)」、「本人確認の手段」などありますが、1つ重要なことは開示等にかかる手数料です。 明確な価格は法律等で決まってはいません。ただ、高額過ぎる金額を提示することは出来ません。ここでの価格設定はある意味開示等の請求を会社がどう対応するかのキモにもなってきます。 こういったことを記載した文面は会社のHPなどで公表することが主流になります。   【最後に】 最後にこの開示等の請求は滅多に発生することはありません。 ただ、手順や内容を把握出来ていないと、もし発生した時に対応が不十分になってしまう可能性があります。 例えば、本人確認をしっかりせず個人情報を開示したことで個人情報が第三者に漏えいしてしまった。なんてこともあり得ます。 なかなか浸透していない制度にもなりますが、ここをしっかり対応することで個人情報が適切に管理出来ている会社であることをPRすること可能になります！        

2020.11.14

コンサル任せにすべき？審査機関はどうすべきか。

Pマークの取得にあたって、審査機関は切れない存在です。 しかも、審査機関は約20機関もあるので、違いも何も分からない人が多いのではないでしょうか。   コンサルに支援を依頼している方はおそらくコンサルの言う通りに審査機関を選んでしまっているのではないかと思います。   審査機関については、別のブログで詳細を紹介していますのでそちらを読んで頂きたいですが、もう少し審査機関を選ぶにあたって踏み込んだ内容をお話します。     【コンサルに任せるメリット】 初めてPマークを取得する際にコンサルを入れている会社は多いです。   審査機関についてもコンサルから説明があるかとも思います。   多数の実績があるコンサルであれば、経験や噂からあの審査機関が良い、あそこも審査機関はダメ。という話を少なからず分かっている状況です。   そのコンサルからこの審査機関にしましょう！と言われると恐らくそのまま決まることが多いと思います。   だいたいのメリット内容としては ・指摘が少ない ・審査ラク ・多少のミスは許容してくれる   と言った形でPマークの取得を目指す会社にとっては非常にメリットがある内容を説明されます。   端的に言い直すと「楽して審査が通過できます！」と言った内容ですね。   【コンサル任せにするデメリット】 逆にコンサル任せにするデメリットはあるのでしょうか。 メリットの話だけだと皆さんにとっては楽してPマークが取れる可能性が高まるのでデメリットがないように感じます。   ですが、デメリットもあります。   その1つはお金の部分です。 コンサルが勧める審査機関は会員企業向けにPマークの審査を提供する審査機関です。 以前のブログで紹介した「判断基準の②」に該当する審査機関ですね。   デメリットを箇条書きにすると下記のような形です。   ・その審査機関である団体に入会する(入会金発生する) ・年会費が発生する(ランニングコストとして毎年発生) ・審査機関は東京にあるので東京・関東近郊以外の会社にとっては交通費が数万円～10万円強かかる可能性がある(審査員は2名来ますし、宿泊を伴う場合は宿泊費もPマーク取得を目指す会社側の負担です)   と言った形です。   【最終的にどうすべきか】 審査がラクという意味はコンサルが楽できる。という意味につながります。   Pマークの現地審査にコンサルが立ち会えませんので、現地審査での対応などは皆さんの負担になりますが、、、全体的な取り組みにおける文書作成や修正はコンサルの負担になるはずです。   そこには取得する会社である皆さんが多額の金銭的な負担がかかることを考慮されているかはなんとも判断がつかない状態です。 ですので、特定の審査機関を強要するコンサルではなく、選択肢の1つとして提供し、どの審査機関でも対応可能なコンサルタントにPマーク取得の支援を依頼することが、取得を目指す皆さんにとってベストパートナーとなると考えます。  

2020.11.13

審査機関ってなに？Pマークの審査機関について

Pまークを取得するためには審査機関からの審査を受けてからではいと取得することが出来ません。   初めてPマークを取得する方からすると審査機関ってなに？どこにあるの？何してくれるの？など？なことだらけだと思います。   今回はそんなPマークで絶対関わってくる審査機関についてご紹介します。   【審査機関とは】 まず、Pマーク審査機関は何かですが、その名の通りPマーク取得・更新のための審査をしてくれるところです。 2020年11月時点で20の審査機関が存在します。   下のリストは19機関しか載っていないですが、Pマーク制度の一番大元となるJIPDECは認証機関兼審査機関でもあるので、載っていません。 すべての審査機関がJIPDECから委託を受けて審査を行っています。   その上で、どこに提出すべきかは皆さんの会社がどこにあるのか。どういった業種なのか。ご自身の会社が加入する団体が審査機関になっていないか。が判断基準になります。   【判断基準その①-業種-】 まず、業種として絶対に拘束される業種があります。 それは医療関係の機関や会社です。具体的には病院やレセプト管理と言った医療関係の個人情報を扱うところです。   こう言ったところは絶対に一般財団法人医療情報システム開発センター(MEDIS)に申請しなければなりません。   理由としては、医療系のPマークは他とは違い特別な基準があり、より専門性が必要とされるからです。   クリアスでは医療系のPマークの支援実績もありますので対応可能です。   【判断基準その②-会社が加入する団体-】 ①に該当しない場合ですが、皆さんの会社が加入している団体が審査機関となっている場合、そちらに申請することも可能です。   主にはIT関係の団体が多いですが、印刷関係の団体もあり、専門性を理解してもらった上で審査を受けることができるメリットの1つです。   デメリットとしては、東京から審査員が向かうことになるため、東京・関東近郊以外の会社にとっては交通費が高くなってしまうことが上げられます。   Pマークの取得をキッカケに加入することが可能な団体もありますが、入会金・年会費がかかるところが多いため、割高になってしまいます。     【判断基準その③-地域-】   ①に該当せず、②の団体に申請しない場合は各地域を担当する審査機関に申請することになります。 北海道、東北、関東、中部・東海・北陸、関西、中四国、九州・沖縄とそれぞれ地域を担当する審査機関があるのでそこに申請をします。   メリットとしてはご自身の会社がある地域の審査機関に出すため、交通費が②に比べると安く済むケースがほとんどです。   審査料金も安くはないので、ここで費用を抑えることは1つ重要なポイントであると言えます。   デメリットとしては、審査機関によっては評判が悪いところもあるので、選べない以上それを受け入れることが必要となります。   いろいろと迷うなら地域を担当する審査機関に申請することは無難とは言えます。   このように審査機関は多数あり、ぶっちゃけどこにすべき？と悩む方も多いと思います。 支援するコンサルタントに相談することも1つだと言えます。   ただ、コンサルタントが楽するためだけの理由で審査機関を選ぶことはお勧めしません。 その詳細はこちらのブログも参照してみてください。  

2020.11.12

平塚市元職員による個人情報の漏えいに関する見解

先日、平塚市からの発表で元職員が所属していた課の個人情報のを不正に持ち出していたことを発表しました。   元公務員が退職にあたって、個人情報を不正に持ち出した上で選挙に立候補するにあたって選挙に関するハガキが送付する形で利用した。と平塚市は公表しています。   今回はこの事件について触れてみたいと思います。   【概要】 上述した通り、退職した公務員はその後選挙に立候補し、ハガキを送付したことで事が発覚しています。 その後、平塚市が電子データ記録を調査した結果、在職中の平成30年11月29日と退職日翌日の平成30年12月22日に、個人情報を含むファイルを持ち出された恐れがあることが分かりました。   今回の事件で漏洩した個人情報のデータ件数は31,429件とのことです。   流れは下記の通り、平塚市が資料を上げている通りになります。   【時系列】 平成31年4月17日 市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話がある。 令和元年8月7日 総務省（自治行政局 地域情報政策室）及び神奈川県（総務局 ICT推進部 情報システム課）にインシデント報告書を提出 8月8日 謝罪会見を実施 8月29日 平塚市議会で、元職員に対する辞職勧告決議を可決 9月4日 広報ひらつか9月第1金曜日号に、市長のおわび文を掲載 9月5日 担当課のイベントの申込者250名に謝罪文を送付 9月30日 関係団体及び平塚市公共施設予約システム登録団体の代表者21,928名に謝罪文を送付 10月1日 市長、副市長及び教育長の給与月額を削減するため「平塚市特別職員の給与に関する条例」を一部改正 11月5日 元職員を、平塚市個人情報保護条例違反で告発 令和2年2月17日 元職員に対し損害賠償請求に係る訴えを提起するため、令和2年3月市議会定例会に議案を提出 3月17日 令和2年3月市議会定例会において、元職員に対する損害賠償請求に係る訴えの提起に関する議案が可決 3月24日 元職員に対する損害賠償請求を横浜地方裁判所小田原支部に提訴 3月27日 元職員に対する損害賠償請求について、口頭弁論期日が令和2年5月22日午前10時と指定される。 5月14日 元職員に対する損害賠償請求について、口頭弁論期日が、新型コロナウイルス感染拡大防止のため取消となる。 7月30日 元職員に対する損害賠償請求について、口頭弁論期日が令和2年9月25日午後1時30分と指定される。 8月25日 元職員を平塚市個人情報保護条例違反で告発した件について、神奈川県警察本部から、8月25日付けで横浜地方検察庁に事件送付した旨の報告を受ける。 9月25日 元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第1回口頭弁論が行われる。また、次回の口頭弁論期日が、令和3年1月22日となる。 10月23日 元職員を平塚市個人情報保護条例違反で告発した件について、横浜地方検察庁から、10月21日付けで不起訴処分となった旨が通知される。     ※平塚市HPの公表文から引用     【見解】 今回の事件で、最終的には不起訴処分となっていますが、実際に平塚市個人情報保護条例第63条に違反する形が考えれます。 明確に不起訴となった理由の明示はないです。 今後、民事での損害賠償請求もなされる形になりますが、今後同じような事件等が発生しないよう提示されている再発防止策を実践する中で同じ事案が起きないことを願うばかりになります。   なお、平塚市が発表している再発防止策は下記の通りです。   （1）技術的対策   ・パソコン管理の強化 今回の事案は、USBメモリの接続制限機能が装備されていないパソコンを経由して行われたことから、市が所有・管理している接続制限のないパソコンに管理ツールを導入し、利用制限と併せて利用履歴（ログ）のチェックを行うことで、パソコンの利用に関する管理強化を行います。   ・USBメモリのセキュリティ対策強化 今回の事案は、セキュリティ対策のされていないUSBメモリを利用して行われたことから、これらのUSBメモリは原則使用禁止としてセキュリティUSBメモリに切り替え、利用履歴（ログ）のチェックができるようにし、不正利用に対する抑止の強化を図ります。   （2）人的対策   ・USBメモリの管理の徹底 USBメモリなどの電磁的記録媒体は、管理・監督者が直接管理をし、それらの利用履歴をチェックすることで、管理を徹底します。   ・確実なアカウント削除の実施 庁内の連絡体制を強化し、退職時のアカウントの削除を適切に実施します。   ・職員研修の実施とチェック体制の強化 職員研修を実施して、情報セキュリティポリシーの遵守及び情報の取り扱いなど情報モラルに関して周知徹底を図ります。また、情報セキュリティ自己点検や監査内容の見直しを行い、チェック体制の強化を図ります。   ※平塚市HPの公表内容から抜粋