623お役所の情報管理意識 形式厳格だが実質は漏れ漏れ
全市民46万人分の個人情報が入ったUSBメモリーが紛失し、悪党の手に渡ったのでないかと青ざめた事件がありました。住民の所得等に関するデータだったようで、まさに知られたくない個人情報の束です。
警察署員も動員して探したところあるマンションの敷地内でカバンが発見され、USBは無事に発見されたことから、悪用の恐れはないだろうと判断されたようで事件としては落着。事件の舞台は兵庫県の尼崎市。
ただし個人情報管理はこれでいいのかという、本質的問題が浮き彫りになりました。
デジタル化の推進で、大量の個人情報の収集利用が容易になっています。個人情報保護法が制定され、個人情報の適正管理のルールが定められています。さらに個人情報の不正取得などに対処するための改正法が今年4月から実施され、個人情報を保有する事業者は、研修など対応に従来以上の労力と資金を注ぎ込んでいます。
そうした結果でしょうか。メールの添付資料を開くには別便に伏せられているパスワードを転記しなければならなくなっています。面倒だなと思うのですが、先方は「法律上の義務だから」と折れません。改修工事を委託した業者の場合を思い起こします。状況写真を20枚ほど要求したところ、カメラの画素の関係か、1メールに2枚の割で添付し、それぞれに別個の開封パスワードの別メールを送信してきました。ところが順番が整理されていないため、どのパスワードでどの写真を開けるのか、半日苦闘することになりました。「郵便で送り直してほしい」と求めましたら、「郵便のような旧テクノロジーは安心できない」と拒否されました。実のところどうなのでしょう。
本題に戻しましょう。尼崎のUSB紛失には後日談がありました。尼崎市は関連分野の市民情報管理を専門業者に委託していました。専門業者はそれを再委託し、その再受託業者はさらに再受託していました。つまりUSBをカバンに入れたまま、仕事帰りに飲み屋に行き、泥酔してカバンを置き忘れた社員は、市から見れば間に2段階をはさむ受託企業の従業員だったのです。
市が情報管理規定を作り、職員の意識向上を図っていとしても、3つ先の受託企業ではどうでしょうか。発注者である市の部局長と会ったこともないではないでしょうか。
個人情報管理の元締めである総務省が制定している規則「総務省の保有する個人情報等の適切な管理のための措置に関する訓令」(平成16年54号)をみてみました。アクセスの制限(9条)、複製の制限(10条)などの厳しく規制。よもや個人情報がUSBごと紛失することはあり得ないと安心させます。情報管理の一部を委託する場合の仕組みも37条以下に詳細に手順などが定められています。
これならば尼崎市で起きたようなことはあり得ないはずです。ということは、尼崎市の事件が起きた理由は、①尼崎市の情報管理規定が総務省版と似つかないいい加減だった。②規定はよくできていたが、それが守られていなかった。
原因が①であれば今後は大丈夫でしょう。しかし②であればどうでしょう。規則は必ずしも守られない。つまり法の支配という民主主義の基本が確立していないという社会の根幹問題に突き当たってしまいます。