兵庫県尼崎市、全市民46万人分の個人情報が含まれるUSBを紛失

2022年6月23日、兵庫県尼崎市の業務委託先であるBIPROGY株式会社関西支社の関係社員が全市民46万人の個人情報が含まれるUSBメモリーを紛失したことを公表しました※1。紛失したUSBメモリーには全市民の住民基本台帳情報のほか、住民税の情報、非課税世帯の臨時特別給付金の対象世帯、生活保護受給世帯や児童手当受給世帯の口座情報などが含まれていました※2
24日、尼崎市は紛失したUSBメモリーが発見されたことを発表しました。メモリー内の個人情報については、関係機関と協力しながら流出などが起きていないか調査を進めるとのことです※3

事故が発生したのは同月21日、BIPROGY株式会社の協力会社社員がコールセンター(吹田市)でのデータ移管作業のために必要なデータを記録したUSBメモリーを鞄に入れて持ち出し、作業完了後に立ち寄った飲食店で食事を済ませ、帰宅した後に当該USBメモリーを入れた鞄を紛失したことに気が付きました。上記社員は飲食店で飲酒しており、帰宅時に路上で寝込んだことが紛失の原因とされています※4
22日、社員によって可能性のある場所を捜索するも発見できなかったため、警察に遺失物届が出されました。

業者は尼崎市から事務所以外でデータ処理することの許可は得ていましたが、データを運ぶ際の具体的な手段について事前許可を得ていませんでした。また、データ移管作業後にその場で情報を消去するというルールも徹底されていませんでした※5。さらに、作業後に個人情報を持ったまま飲食店に立ち寄るなど、多くの問題があります。

紛失したUSBメモリーは、データを移した段階で自動的に内容が暗号化処理されるものを使用しており、パスワードがかけられていました。パスワードがないと、ファイルを開いても読み取れないようになっており、一定のセキュリティは担保された状態にありました※6。しかし本件では、記者会見の際にメモリーに設定されているパスワードを解析される危険性について質問され、これに応じる形で市の担当者がパスワードの桁数を明かしてしまうという一幕がありました。これに対しネット上では多くの批判の声が上がりました※7

数多くのルールの不徹底やミスなどに加えて、いざという時の暗号化対策すらほとんど機能しなかった本件を考えると、やはりパスワードによる暗号化は安全性に不安が残ると言わざるを得ません。特に近年ではパスワード解析を行うソフトも簡単に手に入れることができ、ある程度の桁数を持たないパスワードではほとんど意味がないとも言われています。安全性の高い暗号化対策を行うためにはパスワードではなく、データと復号鍵を分離し、復号鍵自体に暗号化処理を施した上で保管することが求められます。

こうした事件を考える上で一番に行うべきは、データ持ち出し時の許可やデータ消去などのルールを順守すること、またそのためのリテラシー教育です。しかし、業務委託先や協力会社まではルールの徹底が行き届かない場合もあります。そうした不測の事態においても漏洩を防ぐためには、やはり効果的で正しい暗号化対策を行うべきでしょう。

【2022/06/27 14:00 更新】

27日現在までの新たな情報として、以下のことが明らかとなっています。

  • USBメモリーは正・複の2本あり、共に当人が鞄にしまった時と同じ状態で発見され、パスワードの変更は見られなかった。また暗号化状態もそのままだった※8
  • BIPROGYは情報流出の有無の詳しい解析は別の業者に委託すると共に、ダークウェブなどのモニタリング調査を実施する方針※9
  • BIPROGY株式会社は23日、24日の記者会見で、メモリーを紛失したのはBIPROGYの再委託先(株式会社アイフロント)の社員としていたが、26日に再委託先からさらに委託を受けた企業の社員と訂正した。再々委託先の社名については企業規模から個人特定につながる恐れがあるとして明らかにしていない※10
  • 27日、BIPROGY株式会社が尼崎市の許可を得ずに一部の業務を再委託していたことがわかった。また、再委託先も市の許可を得ず再々委託を行っている。これを受け、市長は契約違反があったとの見解を示し、損害賠償も検討すると話している※11

【所感】
本件のように、委託先や再委託先、再々委託先・・・となると、運用ルールを徹底させるのは難しく、セキュリティ意識が低下してしまうケースも考えられます。委託先からの二次漏洩を防ぐためには、やはりルール策定やリテラシー教育に加えて、システム・ツールの導入による漏洩させない環境作りも必要になるでしょう。

【2022年12月5日 追記】

11月28日に第三者調査委員会による調査報告書では、USBメモリを鍵のかからない引き出しに保管されていること、持ち出しデータの消去などもされていないなど、運用管理のずさんさが判明しました。※12
USBメモリ運搬時には鍵付きのケースを利用すること契約で定められていましたが、その契約も守られていなかったようです。
今回は幸いにも個人情報の漏洩こそ確認できていませんが、尼崎市とビプロジー社で交わした契約でさえも無視するようなずさんな運用が判明しました。

今回の事故のように契約や運用ルールなどで厳密なセキュリティを確保しようとしたとしても、忙しさのあまりに業務効率を優先せざるを得ない状況や一仕事を終えた解放感から居酒屋などで泥酔するなどで、結局ルールが守られず情報漏洩事案に繋がるケースは多々発生しています。
そのような状況を踏まえ、整備した契約や運用ルールが守られなかったことを予め想定した情報漏洩対策を行う必要があるのではないかと弊社は考えています。

参考

※1 個人情報を含むUSBメモリーの紛失について(6月23日)| 尼崎市 2022年6月23日

※2 兵庫・尼崎市、全市民46万人分情報紛失 氏名や住所など | 日本経済新聞(電子版) 2022年6月23日

※3 紛失していたUSBメモリーの発見について(6月24日) | 尼崎市 2022年6月24日

※4 4人で3時間飲酒→路上で寝込む 46万人情報紛失の委託業者 | 朝日新聞 2022年6月23日

※5 全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK 2022年6月23日

※6 全住民の個人情報入りUSB紛失、生活保護や納税有無も記載…協力会社員が持ち出し路上で寝込む | 讀賣新聞 2022年6月23日

※7 会見でパスワード桁数明かす、尼崎市の対応に批判も | 産経新聞 2022年6月23日

※8 尼崎市のUSBメモリ、スマホのGPS辿り発見 「漏えいしていない保証はない」とBIPROGY | ITmedia 2022年6月24日

※9 尼崎USB発見 委託業者、ダークウェブへの情報流出を調査 | 産経新聞 2022年6月24日

※10 住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失に関する報告の修正について | BIPROGY株式会社 2022年6月26日

※11 尼崎USB紛失 許可得ず再委託、市長「賠償請求を検討」 | 日本経済新聞 2022年6月27日

※12 尼崎市、USB紛失の業者に賠償請求へ ずさん管理、市幹部も処分 | 毎日新聞