岩手県釜石市、住民基本台帳に記載された全市民3万人超の個人情報漏洩

2022年5月26日、岩手県釜石市は住民基本台帳に記載された全市民3万人超のデータを不正に持ち出したとして、共に40代の総務企画部女性係長と建設部男性主査の2名を懲戒免職としたことを公表しました。

記録が残る限りでも、個人情報の持ち出しは2015年から2022年1月までに21回にわたり行われており、住所、氏名、生年月日などが記された住基データやマイナンバーカード情報が漏洩しました。中には電話番号や収入額、保育料滞納情報も含まれているとのことです。係長は市民の保育料滞納情報等の個人情報を他の職員に漏らしていたことが明らかになっています。なお、26日までに市職員以外への外部流出は確認されていません。

女性係長は住民基本台帳を閲覧できる権限を持っていなかったとのことで、閲覧権限を持っている主査に依頼し、個人情報が記載されたファイルを添付したメールを自分の業務用メールアドレスに送付させたとのことです。またそれを自宅の個人パソコンに送るなどをし、情報を漏洩させました。また、男性主査自身も住民データを私物のUSBに保存し持ち帰り、自宅のパソコンで使用するなどしました。

システムや共有フォルダ、クラウドサービスなどへのアクセス権は不正ログインを防ぐために効果的です。しかし、正規の権限を持った関係者による持ち出しを防ぐことはできません。また今回の事件のように閲覧権限を持っていなくても、権限を持った人物に依頼して持ち出してしまうというケースも考えられます。このような場所やデバイス等に対するアクセス制御には限界があります。

これに対し、IRM (Information Rights Management) のようにファイルを暗号化しアクセス制御をかける手法は、場所に依存することなく、たとえシステム等からダウンロードされたファイルがメールに添付されて外部に送られても、権限のない人物にはファイルを閲覧することができません。
またファイルの復号(暗号化を解くこと)をさせないまま、閲覧や編集のみさせることも可能なので、悪意のある人物が暗号化を解いて外部に送付するといった行為も防ぐことができます。なおファイルに対するアクセスの内容はサーバ側にログデータとして保存されます。

さらに、弊社のIRMソリューション『DataClasys』には端末固定機能があり、暗号化したファイルを決められたパソコン(業務用パソコン等)でしか閲覧できないようにすることも可能です。これにより、仮にUSB等で持ち出しを行っても、自宅の個人パソコンでファイルを開くことはできなくなります。

内部関係者による持出し行為への対策をお考えの場合は、是非ご検討ください。

参考

岩手・釜石、全市民3万人の個人情報漏洩 市が2職員告訴 | 日本経済新聞(電子版) 2022年5月26日

岩手県釜石市 情報漏えいで市職員2人懲戒免職 | テレビ岩手 2022年5月26日

全市民の個人情報漏えい 釜石市、職員2人を懲戒免職 | 岩手日報 2022年5月27日