自治体の情報セキュリティー世界最悪級の自治体情報流出の原因と対策  (3)

株式会社Public dots & Company取締役
福島県磐梯町CDO(最高デジタル責任者)
一般社団法人Publitech代表理事
(介護福祉士)
菅原直敏

ハードディスク(HDD)の廃棄処分を受託業社の下請け企業社員が処分すべきHDDを社外に持ち出して、インターネットのオークションサイトで転売したと報じられた神奈川県のHDD外部流出のニュース、この事件の流れを追い、その原因と自治体における対策について考察します。第3回は過去に京都府宇治市で発生した大規模情報流出事件にも触れながら、神奈川県の事件を私たちはどう受け止めるべきかについて記します。(過去の投稿はこちら、第1回第2回

宇治市住民基本台帳データ大量漏洩事件

1999年、京都府宇治市において同市の住民基本台帳のデータ21万7617件分が、民間業者の持ち込んだ光磁気ディスク(MO)によって外部に流出し、名簿業者によってインターネット上で販売される事件が発生しました。
詳細は、宇治市がその管理に係る住民基本台帳のデータを使用して乳幼児検診システムを開発することを企図し、その開発業務を民間業者に委託したところ、再々委託先のアルバイトの従業員がデータを不正にコピーしてこれを名簿販売業者に販売し、同業者がさらに上記データを他に販売するなどした、ということです。
これに対し、宇治市民が同市に対し、プライバシー権の侵害を理由として、国家賠償法第1条または民法第715条(使用者責任)に基づき、損害賠償金(慰謝料および弁護士費用)の支払いを求める訴えを起こしました。2001年、大阪高裁は宇治市に対し、1人当たり1万円の慰謝料と5000円の弁護士費用の合計1・5万円の支払いを命じる判決を下しました。
この案件は、自治体における最初の大規模な情報流出事件となった、宇治市住民基本台帳データ大量漏洩事件として、しばしば取り上げられます。宇治市は当時、半数以下の自治体しか制定していなかった個人情報保護条例を自発的に制定しており、この事件を受け、さらなる改正をすることとなりました。
また、セキュリティーポリシーの制定が叫ばれるようになったのもこの時期です。私も市議会議員を務めていた時に、同事件を引き合いに出し、セキュリティーポリシーの制定を市に提案したことがあります。

宇治市と神奈川県の事件の類似点と相違点

宇治市の事件の記事を改めて読み返すと、神奈川県の事件との類似点の多さに気付かされます。委託先の業者が下請けに再委託し、再委託先のアルバイト従業員が情報をMOで持ち出し、インターネット上で名簿業者に販売するという構図は、神奈川県のHDDが再委託先の社員によって販売されたことと相似形を成しています。従って、委託先の業者が再委託先に発注して情報流出事故が起こることを「想定外」としてしまう姿勢からは、過去の事例に何も学んでいないことが分かります。
一方で、相違点は宇治市の事件がデータ販売を念頭に入れた意図的なものであったのに対し、神奈川県の事件はデータそのものよりもそれを記録するHDDの販売が目的という、偶発的なことであった点です。これは偶発的だからよかったということではなく、偶発的に最悪級の情報流出事件が起こる可能性があると捉えるべきです。
当時のMOの記憶容量はせいぜい640㍋バイトで、神奈川県のHDDの記憶容量3テラバイトの約4700分の1です。また、当時のインターネットの利用率は21・4%で現在のように誰もが気軽にアクセスしていたわけでもありません。さらに、インターネットのオークションサイトのように気軽に誰もがモノやデータを交換するプラットフォームも存在しませんでした。
これらの個人情報を取り巻く環境を考慮すると、それが意図的にせよ偶発的にせよ、大事故に発展する可能性が常に存在することを改めて公に関わる人間は認識する必要があるでしょう。

神奈川県を他山の石として

今回の事件は、神奈川県のHDDがきっかけで起こりました。しかし、見方を変えれば、たまたま神奈川県だっただけで、実はどのような自治体でも起こり得た事件とも言えるのではないでしょうか。実際、富士通リースやブロードリンクに発注していた自治体の中には、神奈川県のようにデータ消去証明書を受け取れていないところもあるのではないでしょうか。
今回の事件は、再委託業者の一社員の問題や神奈川県という一地方自治体の問題として捉えるのではなく、日本の官公庁や地方自治体およびそこから受託する民間事業者が改めて情報セキュリティーを担保するために何をすべきかということを考える契機にすべきであると思います。

プロフィール

菅原直敏(すがわら・なおとし)
株式会社Public dots & Company取締役。介護のハッピー合同会社CDO(ChiefDigital Officer)兼ソーシャルワーカー(社会福祉士、精神保健福祉士、介護福祉士、保育士)。一般社団法人Publitech代表理事。神奈川県議会議員。経営者、被用者、議会・行政に関わる立場を併有し、GRを実践。専門領域は、介護・福祉、地方自治、最先端技術。上智大学法学部法律学科卒業。1978年生まれ

おすすめの記事