BIPROGY(旧日本ユニシス)は2022年12月12日、兵庫県尼崎市でUSBメモリーを一時紛失した事案について第三者委員会から調査報告書を受領したと発表した。同委員会は事件の原因について、「BIPROGYの役職員の情報セキュリティーに対するコンプライアンス意識が低いものであった」などと指摘した。
同報告書を踏まえ、BIPROGYの平岡昭良社長は月額役員報酬の20%を3カ月分自主返納する。佐々木貴司ビジネスサービス部門長常務執行役員と宮下尚CISO(最高情報セキュリティー責任者)個人情報保護責任者業務執行役員は同10%を1カ月分自主返納する。併せて同社は再発防止措置を講じる。具体的には、プロジェクトを担当する組織の長が週次で安全管理措置を点検したり、新たにセキュリティー専門組織を設置して安全管理措置を客観的に審査、承認する仕組みを構築したりする。
第三者委員会は調査報告書において、「より深刻かつ構造的な問題が存在しているのであり、本件USBメモリー紛失事故の発生原因を一個人の過失に帰結させることは適当ではない」とした。その他の問題点として、BIPROGYが従業員に規範を順守させるという安全管理措置を十分に講じていない点や、再委託先のアイフロントや再々委託先企業(報告書ではX社と表記)の業務に関する実質的な管理者が設置されていない点、委託先の選定が適切でない点などを挙げた。
泥酔してUSBメモリーを紛失した再々委託先の従業員Aは、再々委託先に入社した2003年ごろから同市を顧客とする業務に選任として常駐で携わってきた。それから「次第に、BIPROGY にとっても尼崎市にとっても、尼崎市を顧客とする案件を詳細に把握しているキーパーソンたる地位」(報告書)を築くに至ったという。報告書は、BIPROGY はこのような現場要員を確保するため、アイフロントを名目的に経由させて再委託、再々委託していたと指摘した。
BIPROGYは第三者委員会に対して、「本件(編集部注:尼崎市のUSBメモリー一時紛失事案)および本件類似の取引に関し、客観性を確保した実態検証と原因分析に加え、改善策の提言を委嘱しました」と2022年7月1日に発表している。だが2022年11月28日に尼崎市が公表した報告書に続き、今回BIPROGYが公表した報告書も同市の問題を掘り下げて指摘していない。
関連記事 「尼崎市は発注者としての義務を果たしたか」、USB紛失事案の報告書を読み解く
