0635:46万人分の個人情報
兵庫県尼崎市から委託を受けていた情報処理関係事業者が、全市民46万人分の住基情報・課税情報等が収められていたUSBメモリを紛失したという。元公務員としては市役所が青ざめる様子が目に浮かぶようだ。
■尼崎市の発表
■報道の一例
事象の基本線は尼崎市の発表が詳しいが、そこに掲載されていない情報が報道に含まれている。「USBメモリでのデータ持ち出しについて市の許可を得ていない」「担当者が利用後のUSBメモリからデータを消去せずに持ち歩き、泥酔して路上で眠っている間にカバンごと紛失した」ということから、非は9割方事業者側にあるように見える。
ただ、細部に疑問が残る。「原因」について現時点での尼崎市の認識は次のとおりだ(上記尼崎市サイトより引用)。
まず1の「また」以降、市が受託者に対し「持ち出す際に許可を得るべき旨を徹底していなかった」とある。報道では単純に「事業者が市の許可を得ずにやった」とあるが、実は市の担当者側も「USBでいいっすよ、パスワードはよろしく」みたいな感じで、文書ではなく担当レベルでの許可は出していたのじゃないか? そうでなければ、データの受け渡しが行えないだろう。今後の対応として「具体的な運搬方法を含めて……徹底する」とあることからも、その辺りの消息が窺える。1(市の許可を得ていなかった)及び2(個人が運搬した)」ことについての市と事業者の責任割合に関わる問題だ。
そして最大の問題は3だ。まず前段「作業終了後」に「速やかに帰社」しなかったというのは、会社以外の場所で作業していたということ? ちょっと状況が分からない。その後呑みに行っているわけで、作業現場からの退出はイコール退社という扱いなのだろう。とすると、これだけの規模の個人情報を取り扱う事業者が、退社時にUSBメモリの持ち出しチェックなどをしていない、なんてことがあるだろうか。ここは会社側の管理体制の話になる。
そして3の後段。そのようなUSBメモリを持って呑みに行き、泥酔して、路上で寝て、カバンごと紛失? これは彼個人の巨大な責だ。警察は当該人物が故意に個人情報を売り払った(または何らかの理由で反社に脅されて渡した)可能性を想定して、捜査している筈だ。そのような背景がない場合、本人が一番青ざめているわけで、第三者が推測で犯罪者扱いする物言いをすることは控えるべきだろう。続報を待つしかない。
第一報を聴いた時点では、USBメモリにパスワードロックを掛けていて現時点(まだ数日だが)では個人情報の漏洩が確認されていないということが、救いだった。ところが尼崎市の記者会見で、報道機関から情報漏洩の心配はないかと問われ、会見担当者(管理職の筈)がパスワードの文字種と桁数をさらっと喋ってしまったという。大手の報道では当然「文字種」「桁数」は触れていないが、生中継によってネットには既にその情報が出回っている。これは尼崎市の大失態だ。USBメモリのパスワード機能の状況によっては、文字通り瞬時に突破されて個人情報が流出する可能性がある(悪意ある者がUSBメモリを入手し解錠を試みた場合、尼崎市の失態がなくとも時間の問題ではあるのだけれど)。
公務員小説「やくみん! お役所民族誌」第一話でも名簿屋の話に少し触れているが、個人情報は裏社会で流通する商材だ。情報に付加価値、例えば今回のように税額の多寡など収入状況(固定資産税情報が含まれていれば資産情報も)や家族情報の有力な手がかりが含まれていれば、高額で取引される。今回の名簿単体では詐欺への活用に限界があっても、別の名簿と組み合わせることで宝の山になる。報道によって、USBメモリに収められた情報の価値は爆上がりしてしまった。情報が流出したとして、情報そのものがダークウェブに掲載されない限り、流出の事実そのものが探知できない。見えないところで数ヶ月・数年スパンで詐欺・脅迫等の被害がじわりと発生するのかも知れない。
最後にちらっと。実は、若い頃に尼崎市で生活していたことがあるので、そういう意味でもドキドキした。
--------以下noteの平常日記要素
■本日のやくみん進捗
第1話第21回、2,265字から進まず。
■本日の司法書士試験勉強ラーニングログ
【累積264h05m/合格目安3,000時間まであと2,736時間】
ノー勉強デー。
■本日摂取したオタク成分
『舞妓さんちのまかないさん』第7~15話、随分世界に馴染んで暖かく見守る気分で観れるようになった。『冴えない彼女の育てかた♭』第9話、うおおすげえ盛り上がり。『白い砂のアクアトープ』第19話、ペンギン。
この記事が気に入ったらサポートをしてみませんか?