尼崎市役所で発生した受託業者の関係社員による個人情報を記録したUSBメモリー紛失事案は、呆れるばかりの不祥事である。

JBpressですべての写真や図表を見る

 先の山口県阿武町の誤送金問題で明らかになった、現在でも業務にフロッピーディスクを使用しているという地方自治体のIT化の遅れには驚いた。

 しかし、今回の事案では尼崎市役所の情報セキュリティ対策の不備、いやなきに等しい状態にはさらに驚いた。

 具体的には、部外者が許可なく情報システムアクセスしていること、また許可なく、さらにウイルスチェックがなされていないUSBメモリーを情報システムに接続していることなどは、職員のセキュリティ意識の低さはもとより、組織の日常業務のPDCA(plan-do-check-actサイクルが機能していないことを示している。

 今回の事案は総務省が現在推進しているマイナンバーカードの普及促進の努力を台無しにするものである。

 総務省6月23日付で全国の地方自治体に通知を出し、受託業者への情報保全対策の徹底を求めた。

 総務省は受託業者に対する指導強化の通知を出すだけでなく、全国の地方自治体そのものの個人情報保護体制を再点検すべきであろう。

 そうしなければいつになってもデジタルガバメントの構築は達成できないであろう。

 本稿は、今回の事案から全国の地方自治体に参考となる教訓を導き出そうとするものである。

1.事件の概要および経過など

 本項の(1)および(2)号の内容は、主として尼崎市Webサイト上に公開された情報に基づくものである。

(1)概要および経過

6月21日、住民税非課税世帯等に対する臨時給付金支給事務の受託業者であるBIPROGY(ビプロジー)社関西支社の関係社員が、コールセンター吹田市)でのデータ移管作業のために必要なデータを記録したUSBメモリーをかばんに入れて尼崎市役所の市政情報センターから持ち出した。

 データ移管作業完了後、飲食店に立ち寄り食事を済ませた後の帰宅時に当該USBメモリーを入れたかばんの紛失が判明した。

6月22日、当該関係社員が可能性のある場所を捜索するも発見できなかったため、同日に関係警察署に遺失物届を提出した。

6月22日午後3時45分頃、受託業者から同市役所にUSBメモリーの紛失についての電話連絡(第1報)があった。

 当該USBメモリーは、パスワードが付され、内容については、暗号化処理が施されている。この時点において外部への漏洩は確認されていない。

6月23日、同市役所が紛失を発表した記者会見の場で、職員がUSBメモリーのパスワードは13桁で英数字だと喋ってしまったため、条件に合う「amagasaki2022」がトレンド入りした。

 同日午後、稲村和美市長は定例記者会見で、USBメモリーの紛失について「市民の皆さまにご心配をおかけし、心からおわび申し上げる」と陳謝した。

 同市長は「正直、信じられない思い。初歩的なミスで許されない」と指摘。

「市がメモリー持ち出しの際に立ち会えていないことや、運搬方法の確認に甘さがあった」と述べ、データの持ち出し許可の手続きを検証するとした。

6月24日、ビプロジー社は、同市内で記者会見し、「多大なご迷惑をおかけした。管理体制を見直し、教育指導の再徹底を行う」と謝罪した。

6月24日大阪府警吹田署によると、同日朝から署員約30人が捜索を実施したところ、同日正午頃、紛失した社員と署員が同市内のマンションの敷地内でかばんを発見した。

6月26日、ビプロジー社は、協力会社がさらに別の会社に再委託していたと発表した。

 これまでUSBメモリーを紛失したのは協力会社の社員と説明していたが、協力会社の委託先の社員だったと訂正した。

 市との契約書では業務を再委託する場合、市の許可を得るとあるが、無断で協力会社に再委託していた。

6月28日火曜日)、稲村市長は、尼崎市が運用するウエブサイト上に次のような市長のメッセージを掲載した。

「今回の事態を重く受け止め、個人情報管理にかかる業務手続きの強化を徹底するとともに、第三者委員会を設置いたします」

「受託業者における問題はもとより、本市の情報セキュリティのあり方について検証し、再発防止に向けた取り組みを強力にスピード感をもって進めてまいります」

(2)一時紛失した個人情報の内容

●全市民の住民基本台帳の情報(46万517人分):統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日など。

●住民税に係る税情報(36万573件):統一コード、住民税の均等割額。

●非課税世帯等臨時特別給付金の対象世帯情報(令和3年度分7万4767世帯分、令和4年度分7949世帯分):世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時など。

生活保護受給世帯と児童手当受給世帯の口座情報(生保1万6765件、児手6万9261件):統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義が入っていた。

 統一コードとは、庁内システムで使用する番号であり、マイナンバー個人番号)のことではない。

(3)原因

 尼崎市とビプロジー社がそれぞれウエブサイト上で公表した原因は次のとおりである。

ア.尼崎市役所

①受託業者は、本市の事業所外でのデータ処理の許可は得ていたものの、受託業者の関係社員個人が電子記録媒体で個人情報データを運搬するという具体的手法についての許可を本市から得ていなかった。

 また、本市が受託業者に対し、持ち出す際に許可を得るべき旨を徹底していなかったこと。

個人情報データを保存した電子記録媒体を運送会社のセキュリティ便などを使用せず、個人で本市の事業所外に持ち歩いたこと。

③本市の事業所外でのデータ移管作業終了後、その場で速やかにUSBメモリー内のデータ消去を行わなかったこと。

 また、速やかに帰社せず、当該USBメモリーを所持したまま飲食店に立ち寄り、食事や飲酒をし、結果、USBメモリーが入ったカバンを紛失したこと。

 また、尼崎市は、今回の事案についての原因の検証と再発防止に向けて、外部有識者による第三者委員会を設置し、取組を進めるとしている。

イ.ビプロジー社

 ビプロジー社は今回の事案に対する問題点は、会社側の情報セキュリティルールに則った運用手順書の作成および尼崎市との確認作業をしていなかったことであるとして、具体的には以下の4点を挙げている。

データ持ち出し・運搬時における承認プロセスの徹底不足

 具体的なデータの運搬方法・電子媒体については市側に説明していなかった。

データ運搬手段の問題

 データの運搬に際し、運送会社のセキュリティ便などを利用すべきところ、1人で個人情報の入った USBメモリーを運搬した。

③作業後のUSBメモリー内のデータ消去

 給付金コールセンターにおけるデータ更新作業後、USBメモリー内のデータを消去すべきところ、手順書はなく、また作業者へのデータ消去指示および確認を怠った。

④作業後のUSBメモリーの保管

 給付金コールセンターにおける作業後、指定の保管場所にUSBメモリーを保管すべきところ、その指示および確認を怠った。

2.本事案発生の背景

 本項は、筆者の推測である。

(1)市政情報センター

 受託業者の関係者が市役所の許可を得ずにデータを「市政情報センター」から持ち出したということはあり得ないことである。

 通常は物理的および電子的アクセス管理がありそのようなことはできないはずである。

 筆者は、なぜそのようなことが可能であったのに興味を持った。そこで、「市政情報センター」のウエブサイトにアクセスしてみた。

「市政情報センター」は市役所の庁舎とは別の建物である。「市政情報センター」の施設案内には、次のように書かれている。

尼崎市が発行する市政資料、国や県などの行政資料を収集整理

・上記資料の閲覧と一部貸出

・市政資料の販売

・閲覧資料でコピーが必要な方は係員にお申出ください(有料)(一部対象外の資料があります。ご了承ください)

 つまり、この施設には、多くの市民が自由に出入りしているようである。

 筆者の意見であるが、保護すべき重要な個人情報が格納された情報システムは、多くの人がアクセスする場所から隔離され、むやみを市民がアクセスできない場所に設置され、また、常時情報システムアクセスする者を監視しているのが通例である。

 このような環境に、重要な個人情報が格納された情報システムを設置していることが今回の事案を発生させた要因の一つであると考えられる。

(2)市役所と受託業者との関係性

 1958年に日本レミントン・ユニバック社として設立、その後日本ユニバック社、さらに日本ユニシス社に社名変更し、2006年の米国のユニシスとの資本関係解消後、2022年4月に現在のビプロジー社に社名変更した。

 ビプロジー社は、ICTソリューションのベンダーとして様々な業界で顧客を有し、日本電気富士通・日本IBMNTTデータ日立製作所と並んで、金融機関の勘定系システムを構築可能な開発能力を保持するシステムインテグレーターの一つである(出典:ウィキペディア)。

 つまり、ビプロジー社は顧客から信頼に足る大手企業である。

 また、1956年尼崎市役所に「バロースF500」会計機の1号機を納入したとあるとおり、尼崎市役所とビプロジー社関西支社とは古くからの関係があるように見られる。

 そのような関係が委託側と受託側との間の緊張感を欠き、契約義務の違反やUSBメモリーの取り扱いなどに抜けが生じたとも考えられる。

3.教訓

 今回のUSBメモリー紛失事案の根本的な原因は、委託側および受託側の関係者全員の情報セキュリティに対する意識の低さにある。

 特に組織における情報セキュリティの最高責任者である市長と社長の責任は大きい。

 受託業者の社員による「内部犯行」(企業の社員や元社員、取引先の社員などが企業の機密情報の持ち出しや悪用、転売など犯罪行為を行うこと)による個人情報の漏洩事案は後を絶たない。

 漏洩した個人情報が、詐欺犯罪に悪用するなどの目的から闇市場で売買されていることはよく知られている。

 官民を問わず、多くの組織は標的型メール攻撃などのネットワークを通じたサイバー攻撃から情報を保護することに注意を集中しているが、その一方で、「内部犯行」を軽視する傾向にある。

 特にわが国ではその傾向が強く見られる。

 背景には、日本人が元来「性善説」を好む傾向にあることが考えられる。しかし、「性善説」では、狡猾な内部犯行には立ち向かえない。

 組織は、「人を見たらドロボーと思え」という諺を肝に銘じて情報セキュリティ対策に取り組まなければならない。

 今回の事案は、悪意を持った社員でなかったという幸運があったからこそ事なきを得たに過ぎないと思わないといけない。

 本事案の最大の問題点は、委託側(市役所)も受託側(ビプロジー社)にも明確な業務処理手順がなく、かついい加減な打ち合わせが行われていたことであると筆者はみている。

 具体的には委託契約に「秘密保持条項」が入っていなかったのではないかと思われる。

 業務委託契約を結ぶときには、契約書に秘密を守る内容の条文「秘密保持条項」が入っているが一般的である。

 特に個人情報等の情報処理を外注する場合は、前提となる基本契約のほかに秘密保持契約を締結することがほとんどである。

 今回の契約では、「秘密保持契約」または「秘密保持条項」のどちらも作成されなかったと思われる。

 なぜなら、委託側にも受託側にも取り扱っている個人情報が秘密情報であるという認識が全くなかったと思われる。

 そうでなければ、ウイルスチェックをしていないUSBメモリーを情報システムに接続させることは考えられない。

 また、受託業者の作業員がUSBメモリー内のデータ消去を行わずに、当該USBメモリーを所持したまま、食事や飲酒をすることも考えられない。

 まさに秘密保護のイロハができていないのである。

 唯一救いなのは暗号化機能付きUSBメモリーを使用していたことである。

 暗号化には、高度なアルゴリズムが使用されており、解読するにはとてつもない時間がかかることから、極めて安全性が高いとされている。

 また、「秘密保持契約」を作成しておけば、第三者へ再委託の禁止条項が明記され、受託業者が第三者へ再委託することはなかったであろう。

 以下、尼崎市役所が実施すべき「安全管理措置の強化」と「受託業者の監督の強化」に関する具体的対策ついて述べる。

 ここでは個人情報を取り上げているが、個人情報に限らず、営業秘密等の秘匿すべき情報すべてに適用できるものである。

(1)「安全管理措置の強化」

ア.問題点

・市役所の関係職員の情報セキュリティ意識が低い。

アクセス管理(注1)に不備がある。

アクセス監視(注2)に不備がある。

・委託契約に秘密保持条項が設けられていない。

・市と受託業者の間の打ち合わせ等の議事録が作成されていない。

(注1)アクセス管理とは、悪意ある者から組織の物理的資産とIT資産を保護するために組織によって実行される方策とプロセスの総称である。

 アクセス管理には、テンキーシステムコードを知っている者やセキュリティパス保有している者を、アクセス権を付与した者と見なす物理的な方法と、各システムへのアクセスを従業員のアカウント情報とアクセス権情報で管理する電子的な方法がある。

(注2)アクセス監視とは、組織の内部ポリシーに違反する行為が行われているかどうかを立証することである。

 監視は、物理的活動および電子的活動の両方に適用される。監視レベルを高めるために必要に応じて監視カメラシステムを使用すべきである。

イ.対策

(ア)電子的安全管理

・電子的アクセス管理システムを導入する(許可のない電子的アクセスから個人情報を保護する)。

・監視カメラ等を設置し、不審な動作を監視する。

個人情報へのアクセスダウンロードのログ(記録)を作成し、不正が疑われる異常な記録の存否を定期確認する。

(イ)物理的安全管理

・物理的アクセス管理システムを導入する(許可のない物理的アクセスから個人情報を保護する)。

・記録機能を有する媒体・機器の許可のない持ち込み・持ち出しの禁止または検査の実施。

個人情報を取り扱う部屋への入退室記録を保存する。

(ウ)組織的安全管理

・情報セキュリティに関する職員教育を徹底する。

個人情報保護管理者(Chief Privacy Officer:CPO)の任命など、組織体制を整備する。

スマートフォンなどの記録機能を有する機器の接続制限を行う規程を整備する。

・業務委託契約書の作成マニュアルを情報セキュリティ専門家の助言を得て整備する。

(2)「受託業者の監督の強化」

ア.問題点

・受託業者における安全管理措置が十分でなく、個人情報の入ったUSBメモリーを運送業者のセキュリティ便などを利用せず、社員1人で運搬した。

・受託業者における安全管理措置が十分でなく、作業後、USBメモリー内のデータを消去せず、かつ指定の場所に保管していない。

・受託企業における安全管理措置が十分でなく、データが入ったUSBメモリーを保持したまま飲酒した。

・委託業務の一部が、市役所の許可を得ずに、受託業者から他の企業へ再委託されるという契約違反が行われた。

イ.対策

・委託先の選定に当たり、委託先の安全管理措置を確認し、個人情報保護管理者(CPO)が評価する。

・委託契約等において、委託先で個人データを取り扱う者の役職又は氏名、損害賠償責任を盛り込む。

・受託業者に業務の運用手順書を作成させ、作業の時間・場所、データの記録媒体の種類、運搬方法および保管場所など明示させる。

・受託業者が再委託を行う場合には、委託元に、事前報告又は承認の申請を求めることを委託契約に明記する。

・再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

 以上、本事案から得られる教訓である。現場を知らない筆者が推測を交えてまとめたものである。

 的を外れた対策・教訓でないことを願っている。近い将来、尼崎市が設置するに第三者委員会の結論を待ちたい。

おわりに

 新型コロナウイルスの感染拡大で、わが国では、政府が20年近くにわたり推進してきたデジタルガバメントが機能していない実態が浮き彫りになった。

 特別定額給付金(10万円給付)の申請をめぐり、オンラインと郵送による申請とされたが、予想に反して、オンライン申請の方が郵送申請よりも申請者・地方自治体の双方にとって手間と時間がかかるという本末転倒の事態が生じた。

 原因はいろいろあるが、第1の理由はマイナンバーカードの保有率の低さであった。

 そこで、総務省は現在マイナンバーカードの普及促進キャンペーンを行っている。

 しかし、今回の尼崎市の事案はマイナンバーカードの普及促進キャンペーンに水を差すことになった。

 マイナンバー制度は、国民の利便性を向上し、公平・公正な社会を実現するための社会基盤となるが、その前提には、各自治体における強固な情報セキュリティ対策が求められている。

 なぜ、地方自治体にIT化は進まないのか。

 なぜ、地方自治体の情報セキュリティレベルは低いのか。

 現場からは、予算がない、人材がいないという理由を挙げるであろう。

 一方、中央の政策立案者は現場の状況を知らない。今でも業務にフロッピーディスクを使用している地方自治体があることを知っている人はいなかったであろう。

 既述したが、総務省は受託業者に対する指導強化の通知を出すだけでなく、全国の地方自治体そのものの個人情報保護体制を再点検すべきであろう。

 中央省庁の情報セキュリティ強度を高めても、地方自治体の情報セキュリティが穴だらけでは、日本の情報セキュリティレベル世界レベルには遠く及ばないままである。

 つまるところ、日本の経済成長や豊かな生活の実現にマイナス影響を及ぼすことになる。

[もっと知りたい!続けてお読みください →]  半導体逼迫:TSMCはなぜ強いのか、日本が凋落した理由とは

[関連記事]

急ピッチで開発進む、米国の極超音速兵器と迎撃システム詳解

ウクライナ侵略が示唆、危険すぎる米国頼りの「核の傘」

情報セキュリティは「性善説」で取り組んではならない