土浦市職員 人事評価のデータを不正入手 バックアップデータにも適切なアクセス制限を

事件の概要

2023年9月1日、茨城県土浦市の職員が不正アクセス禁止法違反と市の個人情報保護条例違反の疑いで書類送検されました。職員は2021年12月18日、同市職員836人分の人事評価、役職、学歴、異動歴などの個人情報が含まれるファイルを私用ハードディスクに保存したとされています。また、2022年11月18日、不正アクセスを行う目的で他部署の職員の利用するIDやパスワードが記載されたファイルを業務用PCに保存していました。^{※1 ※2}

職員は上記の個人情報ファイルをサーバー内の非常用バックアップフォルダから入手していました。市はフォルダの存在を一般職員には知らせていませんでしたが、セキュリティは不十分だったといいます。^※3

2022年9月、別の職員から「人事課しか知らない情報を知っている職員がいる」と報告があり、その後、市が調査を進めたことで不正が発覚したとのことです。職員は2023年3月下旬から自己都合で休職しており、外部への情報漏えいは確認されていないとのことです。^※1

土浦市は新たなセキュリティシステムの導入など対策の強化や職員への教育を徹底するとコメントしています。

不正行為の動機となるのは何か

内部関係者が不正行為に至る要因として、アメリカの犯罪学者ドナルド・クレッシーは「動機」「正当性」「機会」の３つを挙げています。これらの要素を図式化したものを「不正のトライアングル」と呼びます。人が不正行為を働くのはこの3つの要素が揃った時であるというのが不正のトライアングルの理論です。

今回の事案では、職員は動機について希望部署に異動したくて自らの人事評価を上げるにはどうすればよいか知りたかった、希望部署などの職員の評価を知りたかったなどと話しているそうです。

このように、内部不正の背後には、人事制度や自身の待遇に対する不満などの動機があります。また、近年よく議論される「手土産転職」なども、競合他社への転職する原因の一つは、現職での正当な評価が得られていないことがあり、新たな職場で良い待遇を獲得するために自社のノウハウを持ち出すケースが見受けられます。

このような動機を無くすためには、やはり公平な人事評価を行うこと、職員が抱いている不満などをしっかりとキャッチするためのコミュニケーション環境を構築していくことなどが必要になります。

内部不正を防ぐための技術的なアプローチとは

しかし、現実的には個人の心理的な動機を組織側が完全にコントロールすることは難しいと言えます。不正行為を防ぐためには、技術的なアプローチが必要不可欠です。内部からの情報持ち出しを防ぐために、具体的な技術的手法として、アクセス制限の設定、外部への情報送信（例：メール等）の監視、ログの監視などが考えられます。特にアクセス権限の適切な設定は、内部不正防止策として非常に重要です。

多くの組織では、フォルダへのアクセス制御を実施していますが、内部関係者の中には業務に従事する立場の職員も含まれており、彼らにはフォルダへの正当なアクセス権が与えられている可能性があります。こうした職員が制限のあるフォルダからファイルを抜き出し、自身のPCに移したり、メールで送信したり、クラウドにアップロードしたりすることによって、ファイルを持ち出すことが可能です。そのため、フォルダへのアクセス制御は、内部不正に対して十分な対策とは言えません。

それでは、内部不正を防ぐための効果的なアプローチとはどのようなものがあるでしょうか。

DataClasysでバックアップデータにも適切なアクセス制限を施す

内部不正を防ぐために必要なのは、フォルダではなくファイルに対してアクセス権を設定する事です。この方法として考えられるのはファイルの暗号化です。ファイルを暗号化し、ファイルへのアクセスを特定の職員に限定することで、フォルダからファイルが流出しても流出した先でファイルを守ることができます。

しかし、パスワードによるファイルの暗号化は内部不正対策として正しいとは言えません。前述のフォルダへのアクセス制御と同じように、業務に関わる内部関係者はパスワードを知っている可能性が高く、パスワードを解除して持ち出すということが可能だからです。このような問題を解決するのがIRMによるファイル暗号化です。

IRM（Information Rights Management）はファイルを暗号化するだけでなく、ファイルに対して利用権限（復号・閲覧・編集・印刷など）を設定することができます。パスワード暗号化とは異なり、ファイルを閲覧するための復号鍵はサーバ側で管理され、ファイルにアクセスする度にサーバ側での認証が必要になります。また、暗号化ファイルに対する閲覧や編集の権限だけを与え、復号（暗号化の解除）の権限を与えなければ、業務に関わる職員がファイルを復号して持ち出すことを防止することができます。

特に弊社の提供するIRMソリューション「DataClasys」は、ファイルを暗号化し利用権限を制御することで、ファイルそのものに厳密なアクセス権を設定することが可能です。組織のセキュリティポリシーに従い「極秘」「社外秘」「取扱い注意」などの機密区分を作成し、ファイルをその機密区分に従って暗号化することで、組織の情報資産を的確に管理することができます。

また、機密区分はファイルを利用するユーザの所属情報に応じて権限が設定できます。今回の事案のように特定の部署でしか扱えないはずのファイルが他部署の職員に利用されないためには、「○○課外秘」などの機密区分を作成しファイルを暗号化することで、特定部署の職員しか閲覧できないようにすることが可能です。

さらに、データ全てを丸ごとバックアップできる製品であれば、ファイルは暗号化されたままバックアップされるため、バックアップデータに対してもアクセス制限が維持されることになります。

このように、DataClasysでファイル単位の暗号化、アクセス制限を行うことでファイルを適切に管理し、内部不正を防ぐための技術的なアプローチが可能となります。興味のある方は、是非お気軽にお問い合わせ下さい。

参考

※1 不正アクセス疑い、茨城・土浦市職員を書類送検 | 茨城新聞クロスアイ 2023年9月1日

※2 人事情報を不正収集疑い　土浦市職員を書類送検 | Lucky FM 茨城放送 2023年9月4日

※3 同僚の勤務評定など個人情報収集疑い、市職員を書類送検　茨城・土浦 | 毎日新聞 2023年9月2日