BLOG

一つ前のblog（岩手県　釜石市／大量の市民データ漏えい　40代職員2人を懲戒免職）に続き、
自治体の個人情報の取り扱い、大丈夫なのか！？（いや、絶対大丈夫じゃない(；ﾟ∀ﾟ)）
と不安になる事件_part２です。

（尼崎市HP：https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html）

詳細は、上記の尼崎市のHPを見ればわかりますが、
おそらく、今年最大の事故で、
2014年のベネッセ個人情報流出事件に匹敵する
史上に残る個人情報関連事故になると思います。
いろいろツッコミどころが満載で、酷い事故だと思いますが、
唯一メリットがあるとすると、
これが自治体の個人情報取り扱いに関する改革に繋がるのではないか？と…
それくらい社会にインパクトを与える事故だと思います。

↓　以下、この事故について私的にポイントを整理してみます。

✼••┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈••✼

今回の事故は、尼崎市の住民税非課税世帯等に対する臨時給付金支給事務の
受託者であるBIPROGY株式会社の「関係社員」が、USメモリを紛失したもの。
「関係社員」と記載しているということは、
おそらく下請け会社の社員（派遣？請負？）ぽいですよね。

公表されている内容から、今回の件の問題点は以下かなと。



上の３つは、委託先としてのルール違反。
どれも当然のルールだと思いますし、
「飲酒」なんてのは特にあり得ないですよね。
肌身離さず、寄り道せず、が個人情報の移送時の基本かと。

４つ目は番外的な感じですが、
記者会見で「英数文字含めた〇桁」なんてことを言ってしまったので、
問題をさらに大きくしてしまっています。
しかも、ネット上では、想定されるパスワードも飛び交っていて、
万が一悪意のある人が拾っていた場合、
開けてしまう可能性があります…(`･ω･´;)

そして何より、私が一番気になったのは、
そんなに大量の個人データを、USBメモリで（許可なく？）抜き出せること、
USBメモリが現役バリバリで使われている様子なこと。
（最近、山口県阿武町の誤振込のニュースで、フロッピーってのもありましたし…）

重要な個人情報を取扱うシステムで、
USBメモリが簡単に使用できる管理体制って、
ほんとに管理できてるって言えるんでしょうか？

今回の件で、
自治体の住民情報の管理体制について、
抜本的な見直しがされることになるんじゃないか…
なったらいいな…
なって欲しい！
いや、見直すべき！と切に思います。

✼••┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈••✼

※ただし、マイナンバーの活用議論と変に繋げて、
　マイナンバーの活用まで後退することがないようにしてほしい。

＜2022年６月24日続報＞
・USBメモリは、鞄とともに発見されたようです！
　https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html

・BIPROGY株式会社の「関係社員」というのは、やはり協力会社の社員のようですね。
　ちなみに、BIPROGY株式会社はPマークの取得事業者ですので、
　JIPDECのサイトにも掲載されています。
　「付与事業者で発生した事故等への対応状況について」
　https://privacymark.jp/news/system/2022/0623.html

＜2022年６月26日続報＞
BIPROGY株式会社／
住民税非課税世帯等に対する臨時特別給付における個人情報を含むＵＳＢメモリの紛失 に関する報告の修正について
https://www.biprogy.com/pdf/topics/info_20220626.pdf

当該本人の在籍先企業について訂正
訂正前 ： 株式会社アイフロント （https://www.aifront.co.jp/）
訂正後 ： 株式会社アイフロントからの委託先

→尼崎市の委託先（BIPROGY株式会社）の
　委託先（株式会社アイフロント）の
　委託先（会社名不明）の社員　が起こした事故ということ。

ここまで遠くなると管理しきれないですよね・･･
尼崎市どころか、BIPROGY株式会社も把握してなかったというのは大問題かと。

＜2022年９月21日続報＞
個人情報保護委員会　USBメモリ紛失　BIPROGYに行政指導
https://plug-in01.com/topics/archives/164​

＜2022年11月28日続報＞
尼崎市は11月28日、BIPROGYに対し損害賠償請求を行うと発表。

その他処分等：
尼崎市ではビプロジーに対し、すでに18カ月間の入札参加停止措置を実施済み。
現在契約中の案件についても、準備が整い次第別の事業者へと切り替える方針。

安全管理が十分でなかったとして、市の情報セキュリティ責任者にも処分を行う。
市の最高情報セキュリティ責任者である副市長の給与を1カ月分減額する他、
一部幹部についても戒告処分とする。
↓
尼崎市HPより
https://www.city.amagasaki.hyogo.jp/_res/projects/default_project/_page_/001/030/947/1128taiou.pdf​