兵庫県尼崎市は全市民の個人情報が入ったUSBメモリーを一時紛失した。業務再々委託先の社員がデータを無断で持ち出したことがきっかけだった。実はバックアップ用のUSBメモリーも保持し、2本同時に紛失していたと判明した。尼崎市はセキュリティーポリシーを定めていたが、全く機能していなかった。委託先を管理できていなかった責任は重く、体制の見直しは待ったなしだ。
全市民の個人情報が入ったUSBメモリーを紛失——。2022年6月、兵庫県尼崎市で前代未聞の事件が発生した。USBメモリー内には全市民約46万人の住民基本台帳の情報をはじめ、住民税の情報、非課税世帯等臨時特別給付金の対象世帯の情報、生活保護受給世帯や児童手当受給世帯の口座情報などが含まれていた。その後、USBメモリーは見つかり、同市は「情報が流出した事実は確認できていない」とするが、全市民の個人情報が流出の危機にさらされた。6月23日の公表後、2日間だけで少なくとも3万2000件以上の問い合わせが殺到した。
USBメモリーを紛失したのは、同市から臨時特別給付金事務を受託したBIPROGY(旧日本ユニシス)の協力会社社員。厳密には、BIPROGYが同業務を再委託したアイフロントからさらに委託を受けた再々委託先の社員A氏だ。A氏がUSBメモリーを持ち出したまま泥酔して、かばんごと紛失したのは言語道断として、同市の管理責任は重い。同市はUSBメモリーを用いてデータを移管していたことを把握していなかったなど、委託元としての適切な管理を怠っていた。
日経コンピュータの取材によると、A氏は不具合が発生した場合に備えて同じデータが入ったバックアップ用のUSBメモリーも保持し、2つとも紛失していたことが明らかとなっている。尼崎市とBIPROGYはそれぞれ第三者委員会を設置して原因の分析と再発防止策の検討を進めるが、管理体制の見直しは待ったなしの状況だ。
外部記憶媒体に頼らざるを得ず
臨時特別給付金は、新型コロナウイルス感染拡大の影響で経済的に厳しい状況にある世帯へ支給する10万円の給付金のこと。尼崎市では2022年2月から2021年度分の臨時特別給付金事務(対象は7万4767世帯)に取り組んでいた。2月4日には市民からの問い合わせに対応するため、コールセンターの運用を開始した。コールセンターはサーバーが1台、オペレーター用パソコンが25台の規模になる。
ところが、コールセンターには外部とのネットワーク接続環境がなかった。臨時特別給付金事務に必要なデータは市政情報センター内のサーバーにあり、何らかの手段でコールセンター内のサーバーに移管する必要があった。同市で総務局行政法務部法務支援担当課長と臨時特別給付金担当課長を兼任する中尾智次氏は「データの移管にはUSBメモリーなどの外部ストレージを使わざるを得なかった」と話す。コールセンターの開設時には市政情報センターのサーバーからデータを抜き出し、運送業者のセキュリティー便で郵送していた。
2022年4月には2022年度分の臨時特別給付金の支給を国が決定した。再度、データ移管が必要となり、これが今回の事件につながった。A氏は6月21日に市政情報センター内のサーバーからUSBメモリーを使ってデータを持ち出し、コールセンターで作業を実施。その後、大阪府吹田市内の居酒屋で約3時間にわたって飲食して泥酔し、USBメモリーを入れたかばんごと紛失したわけだ。
