【セキュリティ事件簿#2025-120】鴨川市が保有する情報に対する不正なアクセスについて 2025/4/1

 

鴨川市が保有する情報について、下記のとおり職員による不正なアクセス及び取得がありました。

このような事案が発生したことをお詫び申し上げますとともに、これまで以上に適正な情報管理と事務処理を徹底してまいります。

事案の概要

2の職員が他の職員のアカウント及びパスワードを使用して不正に本市のネットワークシステムにアクセスし、データを取得したもの(不正アクセス行為の禁止等に関する法律第3条で禁止されている不正アクセス行為に該当するおそれ)

該当職員

(1)所属 水道課(令和6年度)

(2)年齢 50歳代

(3)職名 主査

発覚日時

令和6年10月23日(水)午後4時21分頃

発生原因

ネットワークにアクセスするために必要なパスワードについて、職員コードから類推することが容易なものを仮のパスワードとして初期設定していたところ、これを不正に利用して、他部署の情報にアクセスしたもの

発覚からこれまでの対応

(1)令和6年10月24日(木)に、鴨川警察署に通報した。(同日から捜査が行われており、該当職員は、捜査官に対して、不正アクセスを行い、データを取得したことを話している。)

(2)令和6年10月24日(木)に、ネットワークシステムへのアクセスの記録(令和5年10月25日(1年前)以後の記録)を保存し、記録の分析を開始した。以降、捜査機関の求めに応じて分析結果を随時提供した。

(3)令和6年10月25日(金)に、仮のパスワードを引き続き使用している職員についてはこれを変更するよう全職員に対して周知した。

(4)(2)の分析の結果、要配慮個人情報の漏えいが確認されたこと、不正アクセスによる漏えいであったこと、100人を超える人数の漏えいが確認されたことから、個人情報の保護に関する法律第68条第1項に基づき、国の個人情報保護委員会へ令和6年12月19日(木)に速報を、12月25日(水)に確報を報告した。以降、委員会からの事案の詳細等に係る照会に対応した。

(5)令和6年12月及び令和7年1月の2度、該当職員から顛末の報告を徴した。

確認された事項

(1)該当職員の席上のパソコンから、本人以外の12人の職員のアカウントを使用してネットワークシステムへのアクセスがあったこと

(2)不正に取得されたデータは、人事及び該当職員が在籍した課等において自らが関与した業務に関するデータであったこと(5課、データコピー延べ11,310件)

(3)コピーされたデータは、該当職員に配備された市有の端末のほか、一部は同職員が所有する外部記録媒体にも保存されたこと(現在まで、データの悪用等による二次被害又はそのおそれは確認されていない)

(4)漏えいした情報は、市民等に関する個人情報は実人数で382人分、職員(退職者を含む)に関する個人情報は実人数で903人分であること

・ 市民等で漏えいが確認された個人情報

 氏名、生年月日、性別、住所、電話番号、メールアドレス

・ 職員(退職者を含む)で漏えいが確認された個人情報

 氏名、生年月日、性別、住所、電話番号、人事管理等情報(異動希望、健診記録、病気休暇記録、休職履歴、降格希望、懲戒処分情報、職員の復職判定資料、職員に係る訴訟資料)

今後の対応

(1)捜査への協力

検察又は警察の捜査に対し、引き続き可能な範囲で協力する。

(2)公表

令和7年4月1日に公表する。

(3)個人への通知

個人情報の保護に関する法律第68条第2項の規定に基づき、個人データの漏えい等が生じた旨を当該個人に通知する。

(4)職員の処分

事案の全容が明らかになり次第、厳正に対処する。

再発防止のための措置

(1)外部記録媒体の使用制限の厳格化

(2)職員に配布する初期パスワードのランダム化

(3)職員研修の実施

(4)鴨川市情報セキュリティ対策基準に基づく監査及び自主点検の実施

公表等を控えていた理由

警察との協議の結果、捜査に支障が及ぶ可能性が否定できないことから公表を差し控えていたもの

リリース文アーカイブ