2022/11/30

尼崎USB紛失事件、ビプロジー社の諸々の行為が第三者委員会に「悪質」認定される


兵庫県尼崎市の全市民46万人の個人情報が入ったUSBメモリーを委託企業側が一時紛失した問題で、市の第三者委員会は2022年11月28日、稲村和美市長に調査報告書を提出した。解析の結果、紛失から発見までにログインされた形跡はなく、情報漏えいはなかったと結論付けた。一方、委託先企業が契約に反して再委託や再々委託を繰り返し、市に発覚しないよう工作していたと認定した。

第三者委の小林孝史委員長(関西大総合情報学部准教授)は会見で、個人的な感想と前置きした上で、委託先の情報システム大手「ビプロジー社」(東京)の対応を「かなり悪質ではないか」と指摘した。

尼崎市は同日、最高情報セキュリティー責任者の副市長(総務局担当)を月給10分の1(1カ月)の自主返納、統括情報セキュリティー責任者の総務局長を戒告の処分とした。ビ社に損害賠償も請求する。

稲村市長は「情報漏えいはなかったが、リスク管理の徹底と情報セキュリティーを強化することで信頼回復に努める」と話し、12月2日に就任する新市長に体制づくりの考え方を引き継ぐとした。

ビ社は、新型コロナウイルス臨時特別給付金支給の事務を請け負っていた。報告書によると、USBを紛失したのは再々委託先の男性従業員。6月21日、市役所内のサーバーから個人データを無断でUSBにコピーし、ビ社の拠点へ持ち出して作業した。同日夜からビ社社員ら3人と飲酒し、翌22日未明、酔ってUSBの入ったかばんを紛失。紛失判明から約56時間後、警察官がかばんを発見した。

市とビ社の契約では、業務を無断で第三者に請け負わせることを禁じていたが、ビ社は許可を得ず再々委託した上、その企業に対し、実際の所属先を市に明かさないよう指示。ビ社のメールアドレスを使わせ、市役所サーバー室に入るための管理カードもビ社社員と偽って貸与申請していた。

報告書は「意図的、組織的に自社従業員に見せかけていた」と指摘。紛失後の調査に対し、ビ社の虚偽説明があったとし、「元々尼崎市との約定を順守する意図がなかったのではないかとすら推認されてもやむを得ない」と明記した。

USBには約46万人分の名前や住所、生年月日、住民税額のほか、児童手当と生活保護の受給世帯の口座情報などが入っていた。



【個人情報保護委員会 BIPROGY 株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について 2022年9月21日】


個人情報保護委員会は、BIPROGY 株式会社に対し、個人情報の保護に関する法律(以下「個人情報保護法」という。)第 143 条第1項の規定に基づく立入検査等の調査を実施した結果を踏まえ、令和4年9月 21 日に、個人情報保護法第 144条の規定に基づく指導を行った。

個人情報保護法上の指導の原因となる事実及び指導の内容は以下のとおり

1.指導の原因となる事実 

  1. BIPROGY 株式会社は、多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受ける IT サービス事業者であり、尼崎市から臨時特別給付金支給事務を受託していた(以下、「本件業務」という。)。当該事務は、生活・暮らしの困難に直面している住民に対して速やかに金銭的支援を行う重要な事務であり、かかる事務が適切に遂行されることに対する住民の期待は大きい。他方、本件業務において同社が取り扱う個人データは、尼崎市全住民の住民基本台帳上の情報が含まれる多量の個人データであり、給付該当審査のための障害有無等の要配慮個人情報や、給付金支給のための口座番号等が含まれているため、当該個人データの量及び性質からすると、漏えい等が発生した場合のリスクは特に高く、本人が被る権利利益の侵害の程度が大きいものである。
    このように、重要な事務に関連して多量かつ機微性の高い個人データを恒常的に取り扱うという BIPROGY 株式会社の事業の性質を踏まえると、同社においては、個人データの取扱いに関して個人情報保護法を厳に遵守すること、とりわけ、高い水準の安全管理措置等を講じることが求められる。
    また、尼崎市の情報システムにおいては、個人データが分離された複数のネットワーク環境で管理されているところ、システム間のデータ持ち運びを USBメモリ等の電子媒体に頼らざるを得ない業務が多く存在することからすれば、当該媒体等を紛失等した場合の影響は大きいものとなる。

  2. しかしながら、本件業務に関し、BIPROGY 株式会社の個人データの取扱い実態及び再委託先等(BIPROGY 株式会社の委託先及び再委託先をいう。以下同じ。)における個人データの取扱状況の把握実態について調査したところ、「個人情報の保護に関する法律についてのガイドライン(通則編)」記載の個人情報保護法第 23 条に定める安全管理措置及び個人情報保護法第 25 条に定める委託先の監督について、以下の問題点が認められた。

    1. BIPROGY 株式会社では、個人データの取扱いに係る規律自体は存在していたものの、同規律に従った運用を確保するための組織的安全管理措置が適切に講じられておらず、本件業務に携わった同社の従業者等が、同規律に反して、セキュリティ部門等に許可を得ずに USB メモリに個人データを保存し、当該 USB メモリを施錠機能のないかばんに入れて管理区域外に搬送し、利用目的を果たした後も当該 USB メモリ内の個人データを消去しないまま、当該 USB メモリを所定の保管場所に戻さず持参した状態にて飲食を行い、その結果、個人データが保存された当該 USB メモリを紛失するに至ったものである。

    2. 1.の事態を招いた原因として、そもそも BIPROGY 株式会社では、本件業務に関し、プロジェクト工程における情報システム間の個人データの移行等の尼崎市から委託された個人データの取扱い上のリスクについて、その影響、対処可否、ネットワーク制約等により残存するリスクがある場合の許容可否といった事項を、組織的に分析し承認するといったリスクに応じて必要かつ適切な措置を検討するための体制がなく、前記した事項を現場担当者のみで判断することが実態となっており、適切な安全管理措置を講ずるための組織体制が整備されていなかった。

    3. BIPROGY 株式会社では、個人データを取り扱う区域に対する入退室管理、個人データを保存する電子媒体に対して盗難等を防止するため施錠できるキャビネット等に保管する等の措置、個人データへの不要なアクセスを防ぐためのアクセス制御等の措置といった物理的・技術的安全管理措置が適切に講じられていなかった。

    4. 本件業務では、BIPROGY 株式会社の従業者であるプロジェクト責任者の指示の下で、再委託先等の従業者が実業務を担っていたところ、USB メモリを用いた拠点間の個人データ運搬作業を含む個人データの取扱いについて、前記プロジェクト責任者は、具体的な手順や講ずべき安全管理措置に関して何ら指示することなく、再委託先等の従業者らに一任し、その検討結果の確認も行わず、また、再委託先等に対し実際の個人データの取扱いについて報告を求め又は指示を行うことをしないなど、個人データの取扱状況を把握しておらず、再委託先等の監督を適切に行っていなかった。
2.個人情報保護法第 144 条の規定に基づく指導の内容

  1. 組織的安全管理措置
    BIPROGY 株式会社では、網羅的にリスクに応じて必要かつ適切な措置を検討し承認するといった適切な安全管理措置を講ずるための組織体制が整備されておらず、また、本件業務において個人データの取扱いに係る規律に従った運用が確保されていなかったことを踏まえ、同社が個人データの取扱いの委託を受けている全ての事業において、網羅的にリスクに応じて必要かつ適切な措置を検討し承認するといった適切な安全管理措置を講じるための組織体制を整備し、同社の管理規程及び委託元と取り決めた管理規程等個人データの取扱いに係る規律の遵守状況を確認し、必要に応じてそれらの規律又は管理体制を見直すこと。

  2. 物理的・技術的安全管理措置
    BIPROGY 株式会社は、物理的・技術的安全管理措置に関し、既に策定された再発防止策を確実に実施すること。

  3. 委託先の監督
    BIPROGY 株式会社では、再委託先等に対し実際の個人データの取扱状況について報告を求め又は指示を行うといった個人データの取扱状況の把握のために必要な措置を行っていなかった点を踏まえ、今後、同社が再委託先等に個人データの取扱いを委託する場合には、安全管理措置及び個人データの取扱いに係る規律の意識及び知見を持った責任者が再委託先等における個人データの取扱状況を適切に把握できるよう、モニタリング機能の強化を図ること。
3.その他 

本件では、BIPROGY 株式会社において、同社の規律・組織体制を見直すことで同社内及び同社が委託した業務における前記問題点を改善することが直接的な対処としては必須であるが、それに加え、同社の委託元及び再委託先等を含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要である。この点に関して、今後公表予定とされる尼崎市等での調査結果を十分に踏まえて、今後も、当委員会の追加対応の要否を継続検討することとしたい。

現在、地方公共団体については、各地方公共団体における個人情報保護条例等が適用されているが、令和5年4月に改正個人情報保護法が全面施行された後は、尼崎市を含む地方公共団体における個人情報の取扱いについては、個人情報保護法の規律が適用され、当委員会が監視・監督を行うことから、各地方公共団体においても本件を踏まえた個人情報の適正な取扱いを確保することが重要である。



【尼崎市全住民の個人情報入りUSBメモリ、カバンごと発見される】



尼崎市の全住民などに関する個人情報が保存されたUSBメモリを、同市委託先関係者が紛失した問題で、2022年6月24日に問題のUSBメモリが発見されたことがわかった。

今回の問題は、同市コールセンターのデータ移管作業にあたり、ネットワーク環境がなかったことから、委託先であるBIPROGY(旧日本ユニシス要となるデータをUSBメモリで持ち出して作業を実施したが、その後紛失したもの。

業務終了後にデータが入ったUSBメモリを所持したまま居酒屋へ立ち寄って飲食。その後帰路に向かう途中に眠り込み、翌日22日3時ごろ路上で目が冷めたときには、USBメモリが入ったカバンを紛失していた。同日報告を受けた同市では23日に事態を公表。その後も探索作業が進められていた。

当事者である協力会社従業員が、警察官同行のもと探していたところ、6月24日に吹田市内にあるマンション敷地内で紛失したカバンを発見、USBメモリを回収した。同日11時40分ごろ、委託先であるBIPROGYに報告があり、同社は同日午後、同市に発見を報告している。

同社は、紛失したUSBメモリがバックアップも含め2本だったことを明らかにしつつ、紛失当時と同じ状態でカバンに入っていたと説明。パスワードや内部のデータなども紛失当時と変わらない状態だったことを確認した。

USBメモリを紛失した協力企業従業員は、当時酒に酔っており記憶が曖昧で、発見場所で紛失したのか、第三者によって移動されたものかはわかっていない。


【全住民情報を委託先が紛失、飲食後路上で眠り込みカバンごと紛失 - 尼崎市】2022/6/24


尼崎市は、同市全住民の個人情報を含むUSBメモリが所在不明となっていることを明らかにした。問題のUSBメモリは内部を暗号化しており、ランダムな文字列のパスワードが設定されているという。

同市より住民税非課税世帯に対する臨時特別給付の業務を委託しているBIPROGYの従業員が、USBメモリを持ち運びに使っていたカバンごと紛失したもの。

USBメモリの内部には、同市全住民46万517人分の住民基本台帳に関する情報が保存されていた。氏名、住所、生年月日、性別、住民となった年月日、統一コードなど含まれる。さらに住民税の均等割額など税情報36万573件も記録されている。

さらに2021年および2022年の非課税世帯臨時特別給付金の対象世帯に関する情報も保存。あわせて8万2716世帯分にのぼり、世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時などが含まれる。

また児童手当に関する6万9261件、生活保護に関する1万6765件の口座情報を保存しており、金融機関や支店のコード、口座番号、口座名義など含む。

いずれも同市コールセンターにおいて、データの更新作業を行うために必要となるデータだった。持ち出しに用いたUSBメモリのデータは暗号化されており、アルファベットや数字、記号など用いたランダムの一定文字数でパスワードが設定されているという。


出典:全住民情報を委託先が紛失、飲食後路上で眠り込みカバンごと紛失 - 尼崎市

【関連情報】