記事
【独自解説】兵庫・尼崎市 紛失USBメモリー見つかる 全市民46万人分の個人情報は大丈夫?USB利用は仕方なかった?専門家が徹底解説
2022年6月27日 UP
兵庫県尼崎市で市から委託された業者が全市民、46万人分の個人情報が入ったUSBメモリーを紛失した問題で、USBメモリーが24日、担当者が酔って寝ていた場所の近くでカバンとともに見つかりました。なぜこのような前代未聞の不祥事が起きてしまったのか?ITジャーナリストの三上洋さんが解説します。
なぜUSBメモリーを紛失したのか?
業務を委託された40代の男性は、21日、尼崎市役所からデータを持ち出してコールセンターでデータの移管作業を行っていました。移管作業終了後、USBメモリーを持ったまま同僚らと3時間ほど飲酒し、その帰り道の22日午前2時~3時頃まで路上で寝てしまい、USBメモリーの入ったカバンごと失くしたということです。そして22日に警察に遺失物届けを提出しました。
23日、尼崎市の緊急会見で委託業者は、「情報システムを預かる企業としては絶対に守らないといけないところを守れていなかった」と話しました。業者は紛失した3つの原因として「データを持ち出す手段について事前に市に許可を得ていなかったこと」、「データを運ぶ際にセキュリティー便などを検討すべきだったこと」、「作業後データを消去しないだけでなく、USBメモリーを持ち歩いて飲食したこと」をあげました。
Q.今回の出来事ですが、どこが問題だったと思われますか?
(ITジャーナリスト・三上洋氏)
「個人情報の扱いについては、必ず研修が行われます。情報セキュリティーの教科書があって、してはいけないことを勉強します。その教科書に出てくる悪い見本をすべて詰め合わせたような出来事だと思います。本来は作業が終わった段階でデータを削除するか、会社の金庫などのカギのかかる所に入れてから飲みに行くべきです」
Q.セキュリティー便とはどういうものですか?
(三上氏)
「こういった重要なデータが入っているもの専用の配送サービスで、盗難や紛失することが限りなく少ないものです。もちろんコストはかかってきます」
尼崎市に問題は?
Q.USBメモリーに入れること自体が古い方法で、今はクラウド(インターネット上のサービス)を使うのではないですか?
(三上氏)
「今は、クラウドにデータを入れて、クラウド上にセキュリティーの対策のシステムを必ず導入します。ただ、尼崎市は、コールセンターを市役所の外部に作っていて、インターネットに繋ぐと危険なのでコールセンター自体をインターネットに繋がらない状態にしていたということです。よって、データを移行するのにはメモリーやパソコンなどを持っていくしかなく、今回のパターンはUSBメモリーを使ったのは仕方がなかったと思います。ただ、“その後”は大問題です」
尼崎市は会見で「責任の所在は委託業者」と話していましたが、データを持ち出すために許可をとる手続きを明確に決めていなかったり、データ移行時に市の職員の立ち会いがなかったことなども明らかになりました。
Q.尼崎市の担当者は会見の中でパスワードの桁数を言っていましたが、これはセキュリティー上大丈夫なんですか?
(三上氏)
「桁数だけなら実はそう危なくはないです。ただ、会見の中にもっといろんなヒントがありました。それを組合わせたら、悪意のある人がパスワードを解除できるかもしれません」
Q.たとえば、この個人情報が“オレオレ詐欺”に使われたりする可能性はありますか?
(三上氏)
「データには、氏名年齢住所だけでなく、家族関係も含まれます。今まで“オレオレ詐欺”というのは子供の名前分からないから『オレオレ』と言ってごまかしてたんですが、この情報があれば『オレオレ』ではなくて、例えば『一郎だよ』といって子供や孫の名前を語って高齢者をより騙しやすくする可能性があります。特殊詐欺をはたらく者からすると、“おいしいデータ”になります」
全尼崎市民46万人分の個人情報は大丈夫?
Q.見つかったメモリー内の個人情報が漏れたかどうかは分かるものなんでしょうか?
(ITジャーナリスト 三上洋氏)
「今回、委託された会社が『見つけました』と言っているということは、それが実物である確認ができているということです。また、セキュリティー機能が付いているUSBメモリーならば、パスワードが何回入力されただとか、アクセスがあったかどうか分かるはずです。メモリー内の個人情報については、関係機関と協力して捜査が進められると思います。紛失したけれども、個人情報の流出はなかったとなるかもしれません」
Q.今後どういう点に気を付けたらいいのでしょう?
(三上氏)
「“コロナ給付金”などの業務は、自治体で処理ができず、外部委託が前提の仕事になっていますが、外部委託をする時に「委託すれば外部の業者の責任でしょ」と言っていてはだめです。データは市民のものです。自治体も予算が限られていてチェックが甘くなってしまう可能性は否定できないですが、根本的な対策をしないと同様の被害が出る恐れがあります」
(情報ライブミヤネ屋 2022年6月24日放送)