兵庫県尼崎市の全市民情報が入ったUSBメモリーの紛失事件のてんまつは、あまりに衝撃的だった。
2022年6月23日に発覚したこの事件では、全市民約46万人分の住民基本台帳の情報や、非課税世帯等臨時特別給付金の対象世帯情報などの個人情報が一時、漏洩の危機にひんした。データ移管作業を担ったITベンダーの社員が、作業終了後にUSBメモリーのデータを消去せず、帰宅時に泥酔してかばんごとUSBメモリーを紛失したというのだから驚く。
さらに、記者会見で尼崎市の職員がパスワードの文字の種類や桁数を不用意に話すという「おまけ」まで付いた。紛失したITベンダーの問題はもちろんだが、尼崎市の管理体制のずさんさや、セキュリティーリテラシーの低さなどもあぶり出す形となった。
USBメモリーはすぐに発見され、今のところ情報が漏洩した形跡もないことから、最悪の事態は回避できたようだ。しかしその後、また別の問題が明らかになった。発覚から3日後、この案件を請け負ったBIPROGY(旧日本ユニシス)が、それまでの経緯説明の一部を修正したのだ。
BIPROGYは6月24日の記者会見で、USBメモリーを紛失したのは再委託先のITベンダーの社員と説明していた。ところが、事実確認を進める過程で、実際は再々委託先の社員であると判明したのだという。
要するに多重下請けの形で委託されていたわけだ。しかも、これだけの事件であるのに、BIPROGYの本社は当初、紛失事件を起こした人物の所属企業など再々委託の実態を把握していなかったことになる。さらに尼崎市に至っては、再々委託はもちろんBIPROGYによる再委託の事実すら知らなかったという。再委託する場合には本来、事前に尼崎市の承認を得る必要があった。
これでは仮に事件が起こらなかったとしても、大量の個人情報を扱う以上、由々しき問題と言わざるを得ない。
