2022年6月、兵庫県尼崎市で全市民の個人情報が入ったUSBメモリー(以下、USB)を一時紛失する事故が発生した。発生から約2年が経過した今、公開された情報からその後の対応を振り返る。
問題の所在
尼崎市の再々委託先の社員が全市民の個人情報をUSBに移して無断で持ち出し、作業後に飲酒した後、紛失した。当該社員の情報管理に問題があったのは明らかだ。しかし、同年11月に公開された調査報告書には同市及び委託先の組織の情報管理体制に問題があったと記載されている。同市においては、データの管理者としてチェック機能を効かせることで、外部業者の不適切な情報管理を抑止するとともに作業者に安全を確保すべき十分な自覚を持たせる必要があったところ、十分に行えていなかったこと、委託先においては、同市の承諾を得ることなく委託業務の再委託、再々委託を行っていたこと、USBを鍵付き金属ケースで運搬する仕様を遵守しなかったこと、注意喚起等を行っておらず作業者の管理監督ができていなかったことが問題と報告されている。
再発防止
同市は同年11月に職員への教育の充実や情報セキュリティポリシーの改訂等を講じたと公表した(左図)。更に事故発生から1年後の2023年6月にも再発防止策の進捗状況及び今後の方針を公表している。委託先も社内規程の改定や従業員への教育の充実等の再発防止策を講じている。2022年6月に再発防止の方針を公表してからも約3か月に1度進捗状況を公表しており、現在も対応が続いている。
賠償請求
同市は委託先に対して約2950万円の損害賠償請求を行ったと公表した。更に委託先に対して18か月間の入札参加停止措置も行っている。
NTT Risk Managerは組織の情報管理体制の改善に資する課題抽出や対策の提供、遵守状況の監査等を得意としており、事故発生時の補償も手掛けている。情報管理体制に不安がある場合は是非相談してほしい。
出展:尼崎市 個人情報を含むUSBメモリーの紛失事案について
