全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表
兵庫県尼崎市は、すべての市民46万人余りの個人情報が入ったUSBメモリーを紛失したと発表しました。住民税や生活保護の受給に関する情報などが含まれているということです。
尼崎市によりますとUSBメモリーは新型コロナの影響で生活に困窮した世帯に支給する給付金に関する給付業務を委託していた業者が、21日、紛失したということです。
USBメモリーには、46万人余りのすべての市民の、氏名や住所、生年月日などのほか、住民税を納めているかどうかや、生活保護の受給に関する情報などが含まれていました。
業者が市の許可を得ず、USBメモリーで個人情報を持ち運び、大阪・吹田市にあるコールセンターでのデータ移管作業を行ったということです。
作業の終了後もデータを消去せず、USBメモリーを持ったまま飲食店で酒を飲んだ際に、USBメモリーが入ったかばんを紛失したということです。
業者が22日、警察に届け出るとともに市に報告しました。
市は、USBメモリーにはパスワードがかけられていて、これまでに個人情報の外部への漏えいは確認されていないとしています。
市は謝罪したうえで「セキュリティマネジメントを徹底していくとともに個人情報保護の重要性について改めて周知を徹底し、職員の危機意識を高めるなど信頼回復に全力を尽くします」としています。
尼崎市長「心からおわび 何かあれば専用コールセンターに」
尼崎市の稲村和美市長は会見で「市民のみなさまにご心配をおかけし、心からおわび申し上げます」と陳謝するとともに、市民からの問い合わせを受け付ける専用のコールセンターを設けたことを明らかにしました。
このなかで稲村市長は「現在のところ情報の流出は確認されていないが、最悪の事態を想定して対応すべきだと認識している。何かお気づきの場合は専用のコールセンターに連絡していただきたい。今後の経過はホームページなどでお伝えし、再発防止にしっかり取り組みたい」と述べました。
尼崎市が設けた専用のコールセンターの番号は次のとおりです。
電話番号:050-3133-1403
FAX番号:06-4950-6026
このなかで稲村市長は「現在のところ情報の流出は確認されていないが、最悪の事態を想定して対応すべきだと認識している。何かお気づきの場合は専用のコールセンターに連絡していただきたい。今後の経過はホームページなどでお伝えし、再発防止にしっかり取り組みたい」と述べました。
尼崎市が設けた専用のコールセンターの番号は次のとおりです。
電話番号:050-3133-1403
FAX番号:06-4950-6026
業務委託受けた会社「情報システム預かる企業として大変反省」
尼崎市から業務委託を受けていた大阪市のITサービス会社の説明によりますと、USBメモリーを紛失したのは関係先の企業の40代の男性社員で、自分のかばんの中に入れて持ち運んでいたということです。
この男性はデータの移管作業を担当しており、今月21日に作業が終わったあと、委託元の会社の社員3人とともに大阪 吹田市内の居酒屋で午後7時半からおよそ3時間飲食しました。
その後、帰宅する途中に路上で寝てしまったということです。
目覚めたのは翌日の午前2時から3時ごろで、かばんがないことに気づいた男性は、付近を探したものの見つからなかったため、近くの交番に遺失物届を出したということです。
会見で会社の担当者は「市民のデータを運ぶ際に、具体的な手段について市から事前に許可を得ず、また、本来であれば電子記録媒体はセキュリティ便などを使用するべきところを、徹底していなかった。センシティブな情報は作業が終わったあとにその場で消去するというルールも守られていなかった」などと説明しました。
そのうえで「情報システムを預かる企業として大変反省しており、ご迷惑をおかけして申し訳ない」と陳謝しました。
この男性はデータの移管作業を担当しており、今月21日に作業が終わったあと、委託元の会社の社員3人とともに大阪 吹田市内の居酒屋で午後7時半からおよそ3時間飲食しました。
その後、帰宅する途中に路上で寝てしまったということです。
目覚めたのは翌日の午前2時から3時ごろで、かばんがないことに気づいた男性は、付近を探したものの見つからなかったため、近くの交番に遺失物届を出したということです。
会見で会社の担当者は「市民のデータを運ぶ際に、具体的な手段について市から事前に許可を得ず、また、本来であれば電子記録媒体はセキュリティ便などを使用するべきところを、徹底していなかった。センシティブな情報は作業が終わったあとにその場で消去するというルールも守られていなかった」などと説明しました。
そのうえで「情報システムを預かる企業として大変反省しており、ご迷惑をおかけして申し訳ない」と陳謝しました。
専門家は
サイバーセキュリティーに詳しいインターネットイニシアティブの須賀祐治さんは「一番の問題はデータの移管が行われたあと、そのデータが残ったままになっていたことだ」と指摘しました。
一方で、USBメモリーにパスワードが設定され、暗号化処理されていたことについては「一定の安全性は保てる」としつつも「長さなどが十分でないパスワードを使用しているケースでは、最新の一般のパソコンなどでもデータを確認できる可能性がある」としています。
そのうえで、尼崎市の対応については、個人情報の扱いに関してあらかじめ外部の専門家の意見も踏まえてマニュアルを作って委託業者と共有したり、それぞれの作業の段階でデータが消去されたことなどをチェックリストを作って確認していれば、今回の事態は防げたのではないかと指摘しています。
一方で、USBメモリーにパスワードが設定され、暗号化処理されていたことについては「一定の安全性は保てる」としつつも「長さなどが十分でないパスワードを使用しているケースでは、最新の一般のパソコンなどでもデータを確認できる可能性がある」としています。
そのうえで、尼崎市の対応については、個人情報の扱いに関してあらかじめ外部の専門家の意見も踏まえてマニュアルを作って委託業者と共有したり、それぞれの作業の段階でデータが消去されたことなどをチェックリストを作って確認していれば、今回の事態は防げたのではないかと指摘しています。