2022年6月23日付けの毎日新聞が、
「委託業者、路上で寝込みメモリー紛失 尼崎市46万人分の個人情報」
という見出しの記事を報じていました。
記事によれば、(※筆者が一部編集)
◆尼崎市は23日に、個人情報を記録したUSBメモリーを委託業者が紛失したと発表した
◆紛失情報は、全人口に当たる市民約46万人分
◆データは、名前、住所、生年月日、生活保護受給世帯などが入っている
◆USBには、パスワードが設定されており、外部への流出は確認されていないとしている
◆USBメモリーを紛失したのは、臨時特別給付金の支給事務を受託している委託業者
◆市民からの問い合わせ対応するコールセンターにデータを移すため業者が持ち出した
◆受給対象でない人から連絡がある場合に備え、全市民のデータをUSBに入れていた
◆委託先の社員は、路上で寝込み、USBメモリーを入れた鞄がないことに気付いた
・・・
ということです。
わかりづらいですが、USBを紛失したのは、臨時特別給付金の支給事務やコールセンター業務を受託している会社(B社)の委託先社員です。
報道では、
・尼崎市は、B社に外部でのデータ処理を許可していた
・データの持ち出しにはその都度、尼崎市の許可が必要だった
・B社の委託先の社員は、データ持ち出しルールをB社から知らされていなかった
・したがって、今回のデータ持ち出しは、尼崎市の許可を得ていなかった
・データ移管後は、USBメモリーにデータを残しておく必要はなかった
・USBデータ消去は尼崎市とB社とのルールにはなかった
・B社の内規には、データ移管後のUSBデータ消去が定められていた
そうです。
これらの報道情報の限りでは、
・B社の内規が中途半端
・尼崎市のルールが中途半端
に感じます。
B社については、「データ移管後のUSBデータを消去するルール」は決められていたそうですが、おそらく、「移管後のデータをいつ消去するか」、「消去前のUSBデータを持ち出してはならない」といったルールは、決まっていなかったのでしょう。
また、尼崎市も「データを持ち出す場合は、市の許可が必要」というルールはあったそうですが、「USBデータ消去のルールはなかった」そうですし、おそらく「データ処理を外部委託する場合、持ち出しルールを委託先に伝達する」というルールも規定していなかったのでしょう。
それにしても、記者会見で、尼崎市が、USBメモリーを開くためのパスワードの桁数を明かしていたことも情報セキュリティの観点から問題です。
いずれにせよ、前記したように、尼崎市とB社のデータ持ち出し関連のルールの不備という問題もありますが、そもそも「大量の個人情報をUSB経由で、警備体制などが無い状態で、担当者が持ち出すことができるルール」自体に問題があると思います。
(※ 自分を変える“気づき”ロジカル・シンキングのススメ メルマガ808号より)
追記:その後の報道で、尼崎市は6月24日に、紛失していた全市民約46万人の個人情報が入ったUSBメモリーが見つかったと発表しました。 USBが入った鞄は、大阪府吹田市のマンション敷地内でバックアップ用も含めたメモリー2本を含めて見つかり、データ変更の形跡はないとのことです。結果的には、一安心ですが、データの取り扱いに関する手順、業者選定手順など、根本的な見直しが必要なことに変わりないでしょう。
【好評発売中!】
『事例で学ぶコンプライアンスⅠ』
(トータルEメディア出版)
事例で学ぶコンプライアンス Ⅰ | TEM出版書店 (total-e-media.jp)
事例で学ぶコンプライアンス | 有賀正彦 |本 | 通販 | Amazon
『できるビジネスマンのマネジメント本』
(玄武書房)
https://www.amazon.co.jp/dp/4909566066/
【よかったらメルマガ読者登録お願いします♪】↓
(パソコンでアクセスしている方)
http://www.mag2.com/m/0000218071.html
(携帯でアクセスしている方)
http://mobile.mag2.com/mm/0000218071.html
Twitter:https://twitter.com/ariga9001