BIPROGY 株式会社 第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ 2022年12月12日

当社は、2022 年 7 月 1 日付「USB メモリー紛失事案に関する第三者委員会の設置について」にて公表しましたとおり、当社協力会社社員による兵庫県尼崎市における個人情報を含む USB メモリーの紛失事故を受け、同日に外部の専門家から構成される第三者委員会を設置し、調査を行って参りました。

本日、第三者委員会より、調査の結果判明した事実関係及び問題点の指摘、再発防止のための提言を目的とする調査報告書を受領いたしましたので、下記のとおりお知らせいたします。

当社は、この度の事態を招いたことを真摯に受け止め、改めて深くお詫び申し上げますとともに、第三者委員会の調査結果及び提言を踏まえ、再発防止策等を検討してまいります。また、分析・検討の結果、公表すべき事項がある場合には、適時適切に開示いたします。

当社は、株主や投資家をはじめとするステークホルダーの皆さまからの信頼回復に向け、全社を挙げて全力を尽くしてまいる所存でございますので、引き続き、ご支援を賜りたくお願い申し上げます。

１．調査結果について

第三者委員会の調査結果につきましては、添付資料「調査報告書（公表版）」をご覧ください。

なお、添付資料においては、個人情報保護の必要上、取引先及び社内外の個人名について一部を除き匿名としておりますことをご了承ください。

２．再発防止策について 

当社は本件の発生を受けて、下記のような再発防止策を検討・実施して参りました（以下は一例でありこれらに限りません）。

(1) 組織的安全管理措置について

　①機密性が高い顧客情報資産へアクセスするプロジェクトへの安全管理措置

• プロジェクトを担当する組織内で組織長が週次でその運用に対する安全管理措置を点検。
•  顧客機密情報（個人情報含む）の取扱いに責任を持つ役職者による指導・確認の下、安全管理措置を策定・明確化。
• 新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を客観的に審査・承認し網羅的に管理・モニタリングする仕組み・体制の整備。

　②社内規程及びビジネスプロセスの改定

• 可搬メディアの取扱いルール強化、顧客機密情報と顧客本番環境アクセスのルール強化、サービスビジネスにおいて顧客本番環境にアクセスする際のルール新設等を内容とする社内規程の改定。
• その他、稟議決裁規程、情報サービス・ビジネスプロセス、アウトソーシングビジネスなどのビジネスプロセス関連規程を改定。

　③教育及び指導

• セキュリティリスクの理解と個人情報を含む顧客機密情報の取り扱いルール再徹底のためのセキュリティ教育（e ラーニング）を当社グループ全役職員に対して実施。
• 情報セキュリティ遵守事項に係るプロジェクトチーム内への周知や協力企業向け情報セキュリティ教育の実施状況を確認。

(2) 物理的・技術的安全管理措置について

　①尼崎市様からの受託業務に関する物理的・技術的安全管理措置

• 本番環境にアクセスする作業時は本番サーバルームで尼崎市様ご担当者立合いのもと実施するとともに、可搬メディアを使用する場合のルールを明確化するなど、情報セキュリティに関するルールの明確化。

　②全社的な物理的・技術的安全管理措置

• 利用中の可搬メディアの必要性の見直しと、継続利用する場合は社内規程通り管理されていることを管理簿などの証跡ベースで報告することを徹底。

(3) 委託先管理について

　①情報セキュリティ

• 安全管理措置及び個人情報の取扱いに責任を持つ役職者による教育及び指導等によって、委託先監督に関する法令・当社規程の遵守を徹底。
• 顧客機密情報（個人情報を含む）の取扱いを協力企業に委託する場合も、新たに設置したセキュリティ専門組織にて安全管理措置を審査・承認し、その実施状況をセキュリティ専門組織がモニタリング。
• 形骸化を防止するため、情報セキュリティ内部監査において上記運用状況を監査予定。

　②管理プロセス見直し等 

• 委託先管理を図る責任者を新たに設置。また、委託先管理プロセスを見直し、当社とお客様との契約条件に従って当社から協力会社への委託がなされていることを確認できるエビデンス管理や、運用が適切に行われていることを週次レベルでモニタリング。
• 当社全役職員に関する再教育と指導の徹底、及び委託先に対する契約ルール、再委託留意事項に関するトレーニングプログラムの提供
• 顧客との契約条項に適合した開発（再委託）の場合のみ発注可能となるよう、契約・発注管理システムに契約条項で定められた条件を登録させ、発注の可否を機械的に判断できるようにする修正を加える。
• 委託先との契約書内容を変更し、①契約に違反した場合の違約金条項、②当社の判断で、当社からの二次委託先以降に対する再委託を中止するように要求することを可能とする条項を追加する。
• 委託先管理の実効性を確保するため、委託先管理に対する運用状況を監査予定。

当社は、上記の他にも、第三者委員会の調査結果を真摯に受け止め、再発防止策の提言に沿って具体的な再発防止策を策定し、引き続き着実に実行してまいります。

リリース文（バックアップ）

【尼崎ＵＳＢ紛失事件、ビプロジー社の諸々の行為が第三者委員会に「悪質」認定される　2022/11/30】

兵庫県尼崎市の全市民４６万人の個人情報が入ったＵＳＢメモリーを委託企業側が一時紛失した問題で、市の第三者委員会は2022年11月28日、稲村和美市長に調査報告書を提出した。解析の結果、紛失から発見までにログインされた形跡はなく、情報漏えいはなかったと結論付けた。一方、委託先企業が契約に反して再委託や再々委託を繰り返し、市に発覚しないよう工作していたと認定した。

第三者委の小林孝史委員長（関西大総合情報学部准教授）は会見で、個人的な感想と前置きした上で、委託先の情報システム大手「ビプロジー社」（東京）の対応を「かなり悪質ではないか」と指摘した。

尼崎市は同日、最高情報セキュリティー責任者の副市長（総務局担当）を月給１０分の１（１カ月）の自主返納、統括情報セキュリティー責任者の総務局長を戒告の処分とした。ビ社に損害賠償も請求する。

稲村市長は「情報漏えいはなかったが、リスク管理の徹底と情報セキュリティーを強化することで信頼回復に努める」と話し、１２月２日に就任する新市長に体制づくりの考え方を引き継ぐとした。

ビ社は、新型コロナウイルス臨時特別給付金支給の事務を請け負っていた。報告書によると、ＵＳＢを紛失したのは再々委託先の男性従業員。６月２１日、市役所内のサーバーから個人データを無断でＵＳＢにコピーし、ビ社の拠点へ持ち出して作業した。同日夜からビ社社員ら３人と飲酒し、翌２２日未明、酔ってＵＳＢの入ったかばんを紛失。紛失判明から約５６時間後、警察官がかばんを発見した。

市とビ社の契約では、業務を無断で第三者に請け負わせることを禁じていたが、ビ社は許可を得ず再々委託した上、その企業に対し、実際の所属先を市に明かさないよう指示。ビ社のメールアドレスを使わせ、市役所サーバー室に入るための管理カードもビ社社員と偽って貸与申請していた。

報告書は「意図的、組織的に自社従業員に見せかけていた」と指摘。紛失後の調査に対し、ビ社の虚偽説明があったとし、「元々尼崎市との約定を順守する意図がなかったのではないかとすら推認されてもやむを得ない」と明記した。

ＵＳＢには約４６万人分の名前や住所、生年月日、住民税額のほか、児童手当と生活保護の受給世帯の口座情報などが入っていた。

調査報告書（バックアップ）

【個人情報保護委員会　BIPROGY 株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について　2022年9月21日】

個人情報保護委員会は、BIPROGY 株式会社に対し、個人情報の保護に関する法律（以下「個人情報保護法」という。）第 143 条第１項の規定に基づく立入検査等の調査を実施した結果を踏まえ、令和４年９月 21 日に、個人情報保護法第 144条の規定に基づく指導を行った。

個人情報保護法上の指導の原因となる事実及び指導の内容は以下のとおり

１．指導の原因となる事実 

1. BIPROGY 株式会社は、多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受ける IT サービス事業者であり、尼崎市から臨時特別給付金支給事務を受託していた（以下、「本件業務」という。）。当該事務は、生活・暮らしの困難に直面している住民に対して速やかに金銭的支援を行う重要な事務であり、かかる事務が適切に遂行されることに対する住民の期待は大きい。他方、本件業務において同社が取り扱う個人データは、尼崎市全住民の住民基本台帳上の情報が含まれる多量の個人データであり、給付該当審査のための障害有無等の要配慮個人情報や、給付金支給のための口座番号等が含まれているため、当該個人データの量及び性質からすると、漏えい等が発生した場合のリスクは特に高く、本人が被る権利利益の侵害の程度が大きいものである。
   このように、重要な事務に関連して多量かつ機微性の高い個人データを恒常的に取り扱うという BIPROGY 株式会社の事業の性質を踏まえると、同社においては、個人データの取扱いに関して個人情報保護法を厳に遵守すること、とりわけ、高い水準の安全管理措置等を講じることが求められる。
   また、尼崎市の情報システムにおいては、個人データが分離された複数のネットワーク環境で管理されているところ、システム間のデータ持ち運びを USBメモリ等の電子媒体に頼らざるを得ない業務が多く存在することからすれば、当該媒体等を紛失等した場合の影響は大きいものとなる。
   
   
2. しかしながら、本件業務に関し、BIPROGY 株式会社の個人データの取扱い実態及び再委託先等（BIPROGY 株式会社の委託先及び再委託先をいう。以下同じ。）における個人データの取扱状況の把握実態について調査したところ、「個人情報の保護に関する法律についてのガイドライン（通則編）」記載の個人情報保護法第 23 条に定める安全管理措置及び個人情報保護法第 25 条に定める委託先の監督について、以下の問題点が認められた。
   
   
1. BIPROGY 株式会社では、個人データの取扱いに係る規律自体は存在していたものの、同規律に従った運用を確保するための組織的安全管理措置が適切に講じられておらず、本件業務に携わった同社の従業者等が、同規律に反して、セキュリティ部門等に許可を得ずに USB メモリに個人データを保存し、当該 USB メモリを施錠機能のないかばんに入れて管理区域外に搬送し、利用目的を果たした後も当該 USB メモリ内の個人データを消去しないまま、当該 USB メモリを所定の保管場所に戻さず持参した状態にて飲食を行い、その結果、個人データが保存された当該 USB メモリを紛失するに至ったものである。
   
   
2. 1.の事態を招いた原因として、そもそも BIPROGY 株式会社では、本件業務に関し、プロジェクト工程における情報システム間の個人データの移行等の尼崎市から委託された個人データの取扱い上のリスクについて、その影響、対処可否、ネットワーク制約等により残存するリスクがある場合の許容可否といった事項を、組織的に分析し承認するといったリスクに応じて必要かつ適切な措置を検討するための体制がなく、前記した事項を現場担当者のみで判断することが実態となっており、適切な安全管理措置を講ずるための組織体制が整備されていなかった。
   
   
3. BIPROGY 株式会社では、個人データを取り扱う区域に対する入退室管理、個人データを保存する電子媒体に対して盗難等を防止するため施錠できるキャビネット等に保管する等の措置、個人データへの不要なアクセスを防ぐためのアクセス制御等の措置といった物理的・技術的安全管理措置が適切に講じられていなかった。
   
   
4. 本件業務では、BIPROGY 株式会社の従業者であるプロジェクト責任者の指示の下で、再委託先等の従業者が実業務を担っていたところ、USB メモリを用いた拠点間の個人データ運搬作業を含む個人データの取扱いについて、前記プロジェクト責任者は、具体的な手順や講ずべき安全管理措置に関して何ら指示することなく、再委託先等の従業者らに一任し、その検討結果の確認も行わず、また、再委託先等に対し実際の個人データの取扱いについて報告を求め又は指示を行うことをしないなど、個人データの取扱状況を把握しておらず、再委託先等の監督を適切に行っていなかった。

２．個人情報保護法第 144 条の規定に基づく指導の内容

1. 組織的安全管理措置
   BIPROGY 株式会社では、網羅的にリスクに応じて必要かつ適切な措置を検討し承認するといった適切な安全管理措置を講ずるための組織体制が整備されておらず、また、本件業務において個人データの取扱いに係る規律に従った運用が確保されていなかったことを踏まえ、同社が個人データの取扱いの委託を受けている全ての事業において、網羅的にリスクに応じて必要かつ適切な措置を検討し承認するといった適切な安全管理措置を講じるための組織体制を整備し、同社の管理規程及び委託元と取り決めた管理規程等個人データの取扱いに係る規律の遵守状況を確認し、必要に応じてそれらの規律又は管理体制を見直すこと。
   
   
2. 物理的・技術的安全管理措置
   BIPROGY 株式会社は、物理的・技術的安全管理措置に関し、既に策定された再発防止策を確実に実施すること。
   
   
3. 委託先の監督
   BIPROGY 株式会社では、再委託先等に対し実際の個人データの取扱状況について報告を求め又は指示を行うといった個人データの取扱状況の把握のために必要な措置を行っていなかった点を踏まえ、今後、同社が再委託先等に個人データの取扱いを委託する場合には、安全管理措置及び個人データの取扱いに係る規律の意識及び知見を持った責任者が再委託先等における個人データの取扱状況を適切に把握できるよう、モニタリング機能の強化を図ること。

３．その他 

本件では、BIPROGY 株式会社において、同社の規律・組織体制を見直すことで同社内及び同社が委託した業務における前記問題点を改善することが直接的な対処としては必須であるが、それに加え、同社の委託元及び再委託先等を含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要である。この点に関して、今後公表予定とされる尼崎市等での調査結果を十分に踏まえて、今後も、当委員会の追加対応の要否を継続検討することとしたい。

現在、地方公共団体については、各地方公共団体における個人情報保護条例等が適用されているが、令和５年４月に改正個人情報保護法が全面施行された後は、尼崎市を含む地方公共団体における個人情報の取扱いについては、個人情報保護法の規律が適用され、当委員会が監視・監督を行うことから、各地方公共団体においても本件を踏まえた個人情報の適正な取扱いを確保することが重要である。

リリース文（アーカイブ）

【尼崎市全住民の個人情報入りUSBメモリ、カバンごと発見される】

尼崎市の全住民などに関する個人情報が保存されたUSBメモリを、同市委託先関係者が紛失した問題で、2022年6月24日に問題のUSBメモリが発見されたことがわかった。

今回の問題は、同市コールセンターのデータ移管作業にあたり、ネットワーク環境がなかったことから、委託先であるBIPROGY（旧日本ユニシス要となるデータをUSBメモリで持ち出して作業を実施したが、その後紛失したもの。

業務終了後にデータが入ったUSBメモリを所持したまま居酒屋へ立ち寄って飲食。その後帰路に向かう途中に眠り込み、翌日22日3時ごろ路上で目が冷めたときには、USBメモリが入ったカバンを紛失していた。同日報告を受けた同市では23日に事態を公表。その後も探索作業が進められていた。

当事者である協力会社従業員が、警察官同行のもと探していたところ、6月24日に吹田市内にあるマンション敷地内で紛失したカバンを発見、USBメモリを回収した。同日11時40分ごろ、委託先であるBIPROGYに報告があり、同社は同日午後、同市に発見を報告している。

同社は、紛失したUSBメモリがバックアップも含め2本だったことを明らかにしつつ、紛失当時と同じ状態でカバンに入っていたと説明。パスワードや内部のデータなども紛失当時と変わらない状態だったことを確認した。

USBメモリを紛失した協力企業従業員は、当時酒に酔っており記憶が曖昧で、発見場所で紛失したのか、第三者によって移動されたものかはわかっていない。

プレスリリース（アーカイブ）

【全住民情報を委託先が紛失、飲食後路上で眠り込みカバンごと紛失 - 尼崎市】2022/6/24

尼崎市は、同市全住民の個人情報を含むUSBメモリが所在不明となっていることを明らかにした。問題のUSBメモリは内部を暗号化しており、ランダムな文字列のパスワードが設定されているという。

同市より住民税非課税世帯に対する臨時特別給付の業務を委託しているBIPROGYの従業員が、USBメモリを持ち運びに使っていたカバンごと紛失したもの。

USBメモリの内部には、同市全住民46万517人分の住民基本台帳に関する情報が保存されていた。氏名、住所、生年月日、性別、住民となった年月日、統一コードなど含まれる。さらに住民税の均等割額など税情報36万573件も記録されている。

さらに2021年および2022年の非課税世帯臨時特別給付金の対象世帯に関する情報も保存。あわせて8万2716世帯分にのぼり、世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時などが含まれる。

また児童手当に関する6万9261件、生活保護に関する1万6765件の口座情報を保存しており、金融機関や支店のコード、口座番号、口座名義など含む。

いずれも同市コールセンターにおいて、データの更新作業を行うために必要となるデータだった。持ち出しに用いたUSBメモリのデータは暗号化されており、アルファベットや数字、記号など用いたランダムの一定文字数でパスワードが設定されているという。

プレスリリース（アーカイブ）

出典：全住民情報を委託先が紛失、飲食後路上で眠り込みカバンごと紛失 - 尼崎市

【関連情報】

尼崎市が個人情報USB紛失した記者会見で「パスワードは英数字13桁」「毎年変えている」→amagasaki2022がトレンド入り

尼崎全市民情報紛失、作業後もデータ消去せず　飲酒し、路上に寝込む

全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた

尼崎USB個人情報流出業者名はどこ？BIPROGY関西支社で社員名は？【委託先】