尼崎市全市民の個人情報が入ったUSBメモリー紛失から発見までの経緯

USBメモリーの発見を喜んで終わりにしてはいけない

尼崎市の全市民46万人分の個人情報が入ったUSBを紛失した件。

24日、USBメモリーが入ったままなくなっていた委託業者の男性社員のカバンごと発見されたことが業者から尼崎市に電話連絡があったと発表された。

無事に発見されたことに、ホッと胸をなでおろした人も多いだろう。

しかし、「見つかってよかった！」で済ますことはできない大きな問題であるし、今後同じようなことを起こさないためにも今回の件を教訓にして対策を考える機会となるよう、改めて振り返ってみたい。

個人情報の中には市民全員の46万517件の氏名や住所、生年月日等の住民基本台帳のデータの他、住民税に関する情報36万573件や生活保護や児童手当受給世帯の銀行口座の情報7万6026件、さらに日非課税世帯等臨時特別給付金対象世帯の情報8万2716件が保存されていた。

紛失したのは、新型コロナウイルス給付金に関する業務委託先の業者。尼崎市から業務委託を受けていた大阪市のITサービス会社によると、関係企業に勤務する40代の男性社員が市の許可なくUSBメモリーで市民のデータを持ち歩いていたとのこと。

男性社員はデータの移管作業を担当しており、今月21日に大阪府吹田市のコールセンターにおいてデータの移管作業を行った後、必要なデータをUSBメモリーに保存し、カバンに入れたまま委託先の社員3人と一緒に午後7時半から約3時間に渡って大阪府吹田市の居酒屋で飲酒。

居酒屋を出て帰宅途中に路上で寝てしまい、翌22日の午前2～3時頃に目覚めた時にはカバンがなくなっていたという。

付近を探しても見つからず、交番に遺失物届を提出し、尼崎市に報告した。

尼崎市の稲村和美市長は23日に会見を開き、「市民の皆様にご心配をお掛けし、心からお詫び申し上げます」と謝罪。

USBメモリーにはパスワードが掛けられており、23日時点で個人情報の漏えいは確認されていないと話した。

稲村市長はさらに、「セキュリティマネジメントを徹底し、個人情報保護の重要性について改めて周知徹底し、職員の危機管理意識を高めるなどの信頼回復や再発防止に全力を尽くします」と述べた。

そして、市民からの問い合わせを受け付ける専用のコールセンターを開設したことを発表。

今後の経過については、尼崎市のHPにて発表していくとしていた。

記者会見には、業務委託先の会社の担当者も出席。

「市民のデータの取り扱いに際し、具体的な手段について尼崎市に事前の許可を得ていなかった」

「本来なら電子記録媒体はセキュリティ便等を使用するべきだが、徹底されていなかった」「センシティブな情報は作業終了後、その場で消去する旨のルールも守られていなかった」と説明。

「情報システムを預かる企業として、大変反省しており、ご迷惑をお掛けして申し訳ありません」と謝罪した。

問題となった点はいくつかあるが、まずはデータの移管作業後、データがそのまま残っていたこと。

USBメモリーにパスワードが設定されており、暗号化の処理がされていたことで一定の安全性は保たれていたものの、パスワードの長さが不十分ではない場合は、最新のパソコンを使えばデータを確認できてしまう可能性がある。

23日の記者会見では、尼崎市の担当者が、USBメモリーに設定されていたパスワードの桁数をうっかり話してしまったことも問題視されている。

パスワードについての質問を受けた担当者が「英数字13桁のパスワードを設定している」と発言。

この発言を受けてインターネット上で批判が噴出、パスワードを推測する書き込みなども見られた。

個人情報の取り扱いに関しては、予め外部の専門家の意見を踏まえた上でマニュアルを作成し委託業者と共有したり、各自が作業する段階でデータの消去を確認するためのチェックリストを作成したりなどの対策を講じる必要がある。

今回はなくなった男性社員のカバンごと発見されたとのことだが、USBメモリーのデータの漏えいがあったか否かについては今後調査を進めるとのことなので、その結果を待つ必要がある。

この後、尼崎市と業者が再度会見を開くとのことだが、各行政や企業においても他人事にせず、個人情報の管理について今一度見直し、再発防止に取り組むことが大切であろう。