こんにちは！中央区議会議員の高橋元気です。

さて、ここ数日世間を騒がせています、尼崎市の個人情報流出事件について、

尼崎市によりますと、給付金給付業務を委託していた業者の担当者が、市民46万全ての指名や住所、生年月日等の情報が入ったUSBメモリーを紛失したという事件です。

USBメモリーを持ったまま飲食店で酒を飲み、カバンを紛失したとのこと。

https://news.yahoo.co.jp/articles/3665ca00bbf3edc978b0603dc32b9602a10ea6f5

またその後、当該委託業者が市に無断で業務を再委託していた、という事実も発覚致しました。

尼崎の件、教材として完璧。

･BIPROGY(旧･日本ユニシス)の協力会社社員が
･尼崎全市民46万人の個人情報データを
･許可を得ずUSBメモリに入れて持ち出し
･作業後データ消去せず
･居酒屋で泥酔後、路上で寝てしまい
･USBメモリを鞄ごと紛失
･翌日届出
･記者会見でパスワード構成と桁数をばらす pic.twitter.com/J4BW45IDtL

— ブラック企業アナリスト 新田 龍（労働マナー講師） (@nittaryo) June 23, 2022

外部USBメモリを挿せる（アラートが出ない）時点で市も民間事業者もセキュリティ意識が低い。個人の責任というよりも組織、システムの問題です。 https://t.co/B3b2diWRLM

— 高橋元気（中央区議会議員） (@genki_takahashi) June 23, 2022

さて、どこから手を付けたらよいのか・・・というレベル。

前職で企業のリスクマネジメントに携わっていた身からしても、個人情報の取り扱いは個人情報を取り扱うどの企業、組織も最優先のリスクとして体制を整備しているものと思います。

情報セキュリティにおける脅威とはすなわち、

ウィルス感染、不正アクセス、情報漏洩であり、それぞれに対する情報セキュリティ対策をルールとして、あるいはシステムとして整備し、従業員に遵守させることが基本中の基本です。

ウィルスやセキュリティソフトの導入、不正アクセスを防ぐサーバー構成やセキュリティホール対策などは、恐らくどの企業、あるいは自治体も力を入れているはずです。

しかし、なぜか情報漏洩に対してはザルである。という点は否めません。

私も前職企業の情報セキュリティガイドラインの制定等に関わっておりましたが、まず個人情報を「誰が」、「どこで」、「どのように」取り扱えるのかアクセス権限を含めたルールがどのように定められていたのかが気になります。

つまりは外部USBを持ち込める、個人情報を取り扱うPCに挿せる、個人情報を移せる、個人情報が入ったUSBを持ち出せる時点でリスクが低減出来ていません。信じられないほどセキュリティ意識が低いと言わざるを得ません。

個人情報が取り扱えるPCを限定し、外部USBを挿せない、あるいはアラートが出て読み書きができないようにする。

または個人情報が取り扱える「部屋」を限定し、キーロックで入退室を認証した上で持ち物チェックを行う、などさまざまなセキュリティレベルが検討されてしかるべきです。

委託元に無断で業務を再委託していた、などは個人情報保護法違反ですので論外です。

また、市の弁明では、委託業者がやった、委託業者が悪いといった弁明を繰り返していますが、委託元の責任として、個人情報の取り扱い体制の整備状況を確認し、定期的に監査する必要があります。正直、全面的に市が悪いです。

末端の個人が個人情報を持ち出せてしまった時点で、責任は市にあります。

それが出来ないように、出来る限りリスクを低減するために情報セキュリティルール、体制を整備することがリスクマネジメントです。

もちろん、リスクマネジメント、内部統制にも限界はありますが、本件においては防げた事故です。

本事故のようなUSBの取り扱いだけに限らず、中央区の情報セキュリティポリシーのルール自体に不足はないか、またルールの順守状況がモニタリングされ、定期的に見直しがされているか、改めて確認致します。

これは実際に情報セキュリティに関する規定を読み込まなくては判断が出来ません。

来週、委員会が開催されますので、その場で取り上げます。

何故、直接聞くのではなく、委員会でやるのかと思われるかもしれませんが、

区民も傍聴可能な公の会議体で、議事録に残す必要があるからです。

またご報告致します。