全3202文字
PR

 兵庫県尼崎市は2022年11月28日、同市の全市民情報が入ったUSBメモリーを一時紛失した事案に関して、第三者委員会から調査報告書を受け取り、公表した。結果的に個人データの流出は認められなかったものの、第三者委員会は38ページから成る報告書のほとんどを使い、業務を受託したBIPROGY(旧日本ユニシス)側の問題を指摘した。同市の情報管理体制の問題についての指摘はわずかだった。

「尼崎市USBメモリー紛失事案調査委員会」が作成した調査報告書
「尼崎市USBメモリー紛失事案調査委員会」が作成した調査報告書
(写真:日経クロステック)

 尼崎市がUSBメモリーの紛失をWebサイトで公表したのは2022年6月23日のことだ。同市における2022年度臨時特別給付金対応業務を受託したBIPROGYの再々委託先従業員が、同市内の「市政情報センター」から大阪府吹田市内のコールセンターにデータを移す際、USBメモリーにデータを格納し、そのUSBメモリーを紛失した。尼崎市は2022年7月8日、BIPROGYに対して18カ月の入札参加停止措置を下しており、「本件事案が本市のイメージダウンにつながった」などとして損害賠償を請求する考えだ。

尼崎市に無断で再委託、再々委託

 紛失判明直後に開かれたBIPROGYの平岡昭良社長の記者会見などにより、同社が尼崎市に無断で臨時特別給付金事務を再委託、再々委託していたことが明らかになっている。同市が2022年7月1日に設置した第三者委員会「尼崎市USBメモリー紛失事案調査委員会」がまとめた調査報告書を読み解く形で経緯を振り返る。

 まず尼崎市役所から数百メートル離れた場所にある市政情報センター内の給付金サーバーから給付金関連のデータなどをUSBメモリーにコピーし、吹田市内のコールセンターまで運び、同コールセンターの端末にデータを移したのは、BIPROGYの再々委託先の従業員Aだった。

 かねてBIPROGYは従業員Aを含む再委託先や再々委託先の従業員に対し、自身の所属を明かさず「BIPROGY従業員であるかのように市職員と接するように」と指示していた。そんななか従業員Aは2022年2月ごろにBIPROGY従業員2人と尼崎市職員2人が出席した会合に参加。その会合で従業員Aは市職員に対して「今日は名刺を持ってきていない」と話し、自身が再々委託先の従業員であることを明かさなかった。

「尼崎市USBメモリー紛失事案調査委員会」が指摘した主な問題点
(出所:調査報告書や取材を基に日経クロステック作成)
主体概要
尼崎市BIPROGYに対して、セキュリティー監査を直接実施しなかった
尼崎市情報セキュリティーに関して実効性のある研修・訓練を市職員に対し実施しなかった
BIPROGY委託契約に違反する形で、尼崎市から承諾を得ずに再委託や再々委託を実施した。再委託先や再々委託先の従業員に対し、自身の所属を尼崎市の職員に明かさないよう指示した
BIPROGY、再委託先、再々委託先尼崎市に無断で、全市民46万人の「本番データ」を開発用デスクトップパソコンに複製し、開発作業に利用した
BIPROGY、再委託先、再々委託先USBメモリーに保存したデータを適切に消去しなかった。全市民46万人のデータを保存したUSBメモリーを所持したまま、深夜まで飲食店でアルコールを伴う会食をした
BIPROGY、再委託先、再々委託先尼崎市とBIPROGYとの間で機密情報をやり取りする際、パスワードを「amagasaki」「Amagasaki」「AMAGASAKI」や、これらに日付を追加するだけなど設定がずさんだった

 市政情報センターや同センター内のサーバールームへの入退室には、尼崎市長に申請して貸与される「入退室管理カード」が必要である。BIPROGYは2022年4月1日に、同社の関西支社業務執行役員支社長名義で尼崎市長宛てに申請書を提出。BIPROGYの従業員として19人に入退室管理カードの貸与を申請した。

 ただ実際は19人のうち10人がBIPROGYの再委託先、再々委託先の従業員だった。尼崎市長はカードの使用者が全てBIPROGY従業員と考え、申請通りに貸与した。市政情報センター内の執務室で作業するBIPROGY従業員、再委託先従業員、再々委託先従業員の全員が入退室管理カードを持っていたことになる。