29 情報セキュリティ, 個人情報保護法

はじめに

２０２２年６月２１日、兵庫県尼崎市から株式会社BIPROGYに委託された住民税非課税世帯への臨時給付金事務において、BIPROGYの協力会社の委託先において、約４６万人の個人情報データが入ったUSBメモリを紛失する事件が発生しました。USBメモリは２４日に発見され、盗難被害にはあっていないことが確認されましたが、この事件は連日ニュースでも報道され、多くの人々の関心を集めるとともに、個人情報保護体制の甘さなどに対する多くの批判を集めることになりました。そこで本記事では、事件の概要や背景等について解説します。

事件の概要

今回、紛失したのは尼崎市から業務委託を受けたBIPROGYの協力会社の委託先社員（以下、「再々委託先社員」）が尼崎市政情報センターにて、データを移したUSBメモリです。USBメモリには、約４６万人分の氏名・住所・生年月日・住民税額・児童手当受給世帯および生活保護受給世帯の口座情報等が入っていたと言われています。給付金の問い合わせはBIPROGYのコールセンターで応じることになっていたため、USBメモリを持った再々委託先社員は、尼崎市政情報センターを出た後、大阪府吹田市のコールセンターに移動し、データの移管作業を行っています。その後、移管作業を終えたBIPROGY社員２人と再々委託先社員２人は、吹田市内の居酒屋に立ち寄って３時間に渡り飲食をしていました。解散後、USBメモリを保持していた再々委託先社員は路上で寝込んで深夜まで過ごしてしまい、目覚めた頃には手持ちのカバンごと紛失していることに気付きました。再々委託先社員は休暇を取り、一人でUSBメモリを捜したものの見つからず、紛失に気づいてから１２時間以上が経過したタイミングで市に紛失を報告しています。

事件におけるセキュリティ上の問題点

BIPROGYと市との契約書では、本件の業務を再委託する場合、市の承諾を得る必要がある旨規定されていたと言われています。しかし、BIPROGYは市の承諾を得ることなく協力会社に再委託し、その後、当該協力会社がさらに別の会社に再委託していました。本件では、BIPROGYの社員含む４人の居酒屋での飲食やその後の個人的な行動に問題があった点は明らかですが、そもそも、BIPROGYが重大な契約違反を犯していたことに端を発しています。

それ以外にも市のデータの管理体制の甘さにも多くの指摘があがっています。まずは、再々委託先社員は市の許可を得ることなく、市政情報センターからUSBメモリを持ち出しており、市の職員が持ち出しの際に立会を行っていませんでした。データの持ち出し自体は市の許可があれば問題ないものの、市がこれを徹底していなかったかたちです。また、作業完了後の個人情報を社員４人が削除していなかったことも今回の騒動を大きくさせた要因と言えるでしょう。さらに、尼崎市の記者会見での問題発言も話題になりました。当該USBメモリはデータ保存時に自動的に暗号化処理が行われていましたが、記者会見で市職員がパスワードに英数字が使われていることやパスワードの桁数を口にしてしまったのです。これにより、パスワードが予測されやすくなり、SNSにおいてもパスワードを予想する投稿が相次いでなされ、トレンド入りする事態となりました。

USBメモリの発見

記者会見の翌日２４日、吹田市内のマンション内で紛失したUSBメモリが入った鞄が見つかり、市がその旨を公表しています。BIPROGYは２０２２年６月２４日、USBメモリが発見される以前に、再発防止策として３つの策を公表しました。１つ目は、「管理体制の強化およびセキュリティポリシーの再周知・徹底」であり、運用手順の不足分を再点検および整備を行い、市のルールを厳格に運用することとされました。２つ目は、『データ持ち出し・運搬ルールの徹底』であり、データ持ち出し・運搬は原則禁止とすること、業務上必要となる場合は「必要最小限・最小時間」を基本原則とすること、持ち出しは市の申請・承認後に実施することを徹底するとしています。３つ目は、『プロジェクトメンバーおよび委託先協力会社に対する教育、指導の再徹底』であり、データに関する責任感の醸成を徹底するとしています。

世間を騒がせた今回の騒動ですが、USBは発見され、現在のところ被害は最小限で済むと見られています。本件は情報セキュリティに関する誤りがいくつも積み重なった事例で、重要データ、個人情報を扱う企業にとっても大いに参考にすべきものと言えるでしょう。

メルマガ会員登録