兵庫県尼崎市の市民全員46万人分の個人情報が入ったUSBメモリを紛失するという大変なことが起きてしまいました。
個人情報がこれほど守られている中、まさか市民全員分の個人データが入ったUSBメモリを個人が外部に持ち出すということさえ信じられませんが、なんとお酒を飲んで酔って路上で寝ている間にUSBメモリの入ったカバンを紛失したということです。
悪用されずに戻ってくればいいのですが・・・尼崎市民にとっては不安でしょう。
尼崎市USBメモリー紛失の概要
尼崎市が新型コロナウイルス対策関連の臨時特別給付金を支給する業務の一部を市から委託した業者の40代の男性が、データ移行のためにUSBを持ち出したのです。
個人情報が入ったデータを持ち出すというのは大変危険なことで、一般の企業でさえ外部への持ち出しや家への持ち帰りは固く禁止されているのに、なんとこの男性は業務終了後そのUSBを持ったままお酒を飲みに行ってしまったのです。
委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。
(記事引用元:Yahooニュース)
飲食店で飲酒後にUSBメモリーが入ったかばんを紛失したということですが、なんと泥酔し路上で3時間近く寝ていたことも明かされました。
あまりにも責任感がなさすぎるというか、酷い話ですよね。
しかも担当の40代男性はおよそ20年業務に携わっているベテランだということです。
個人情報の入ったUSBメモリを紛失したこともですが、なんと尼崎市の会見で職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」と回答してしまったのです。
解読するのは難しいと言いながらも、ヒントを与えてどうするのでしょう。
困った人の集まりになってしまいました。
USBメモリーを紛失した委託業者はどこ?
尼崎市から業務委託を受けていた大阪市のITサービス会社の説明によりますと、USBメモリーを紛失したのは関係先の企業の40代の男性社員ということです。
委託業者が関係先の企業にさらに委託してたということなのでしょうか。
市から業務を受託したのは「BIPROGY 株式会社」です。
【重要なお知らせ】兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫びが掲載されています。
本社は東京都ですが、今回委託されたのは関西支社(大阪)です。
信頼が仕事なのに大変なことをしてしまいましたね。
尼崎市の会見動画
尼崎市の会見で、担当者が記者の質問に対して答えてしまうという失態が起きました。
これがLIVEで中継されたため、会見をみていた人は驚きの声を上げていたのです。
【フル公開】「全市民46万人分情報入りUSBメモリー紛失」兵庫・尼崎市緊急会見 https://t.co/nH8nCDrLgk
紛失機器のパスワード桁数を公開するって正気か?
ぼ、僕はいったい今何を見せられているんだ— rupia (@rupia_ivw) June 23, 2022
現在、この動画は削除されていてい見ることはできません。
滝沢ガレソさんがTwitterで公開してくれた動画がこちらになります。
【超悲報】尼崎市さん、記者会見で紛失USBメモリのパスワードの桁数を公開してしまう pic.twitter.com/dPQdklcFm6
— 滝沢ガレソ (@takigare3) June 23, 2022
ここでは「英数文字も含めた13桁のパスワード」まで言ってしまっていますが、この質問をしている記者に対してかなりのヒントを暴露してしまったようです。
実際のLIVE会見では、このようなやり取り多あったようです。
尼崎のUSB紛失の件
このリポーターはなんかのスパイかな?ww
なんでわざわざ喋らすんだよwww pic.twitter.com/mvJAzvCw94— Heaven (@Beethoven0622) June 23, 2022
これだけヒントがあると、詳しい人はパスワードを解読してしまいそうですよね。
言葉巧みにパスワードを聞き出した記者は誰?
動画が削除されてしまっていて記者と担当者とのやり取りを見ることができないのですが、もしこのようなやり取りが本当だとしたらこのリポーターはすごい能力を持っていますよね。
ネットでは「スパイなのか?」とまで言われています。
尼崎のUSB紛失の件
このリポーターはなんかのスパイかな?ww
なんでわざわざ喋らすんだよwww pic.twitter.com/mvJAzvCw94— Heaven (@Beethoven0622) June 23, 2022
言葉巧みに聞き出しているこの記者が誰なのかは特定できませんでした。
世間の反応
この件に関する世間の反応がこちらです。
この程度のレベルで担当課長、そりゃ漏洩する。
漏洩の責任問題はともかくとして、ほとんどパスワードも自分から漏洩している。
USBメモリのロック解除に試行回数制限があることは無いだろうし、
桁数が分かる総当たりは桁数の分からない総当たりに比べて格段にやりやすい。
普段からセキュリティ意識を持っていれば、こんなことには当然ならない。
少なくとも会見で桁数を堂々と述べるなんてことにはならない。
セキュリティというのは組織で捉えるのが正しい、
この担当課長個人に責任を押し付けるのはセキュリティ向上にならない。
そもそも公務員という限定された枠組みの中で、
経験が浅い人間をポストに就けざるを得なかった組織の限界を感じる。
そもそも個人情報の入った業務データを持ち帰ることが許される環境がおかしい。情報の入った可搬記憶媒体は責任者もしくは指定された人間が出勤時と退勤時に員数点検を実施し保管するのが企業が行う最低限のライン。行政の仕事を請け負うなら記憶されている情報の重要度に応じて保管容器を金庫に指定することや取り扱い記録を残すといった物理的な措置を講じる。また、作業を実施する際も接続する端末を個人情報取り扱い用に指定された端末のみに制限するなどの情報流出対策はできていて当然。情報系の専門学校出身者のいないうちの職場ですらこれくらいの対策はしている。
全ての市町村行政が同じレベルだとは言いませんがマイナンバーカードを作らない理由として懸念されている事が実際に起こっているのだから益々普及率は延びないと思います。
政府もマイナンバーカードについては一旦煽るのを止めて個人情報を完璧に管理できるシステムを構築するのが先決だと思います。
パスワードの英数字13桁が解読されないとでも思ってるのかな?
少なくともその情報が確定した段階でパスワードもある程度絞れる。
こんなことをポロっと喋れる当たり、事の重大さを理解していないような気がする。
委託先の担当のUSBメモリ持ち出した上で紛失するのもあり得ないし、
尼崎市もパスワードを英数字13桁で管理しているのもあり得ない。
もしかしたら他の情報も同一パスワードか類似パスワードで管理しているんじゃないか?
委託業者の失態だとしても、今回は尼崎市の責任であることは間違いないといえるでしょう。
委託に対するセキュリティも、管理能力に対するセキュリティも、お口のセキュリティも甘すぎましたね。
まとめ
行政にたいして信頼ができないという人には「ほらね!」といった事態が起きてしまいました。
信頼して、言うとおりに行動している人も「大丈夫なのか?」という不安を持ってしまいますよね。
これだけ詐欺が多い中で、このデータで詐欺にでもあうことがあったら本当にどうする気なのでしょうか。
尼崎市に対しても、委託された業者に対しても不信感が募るばかりです。
せめて悪用されないうちに無事に戻ってきて欲しいですね。