尼崎市のUSBメモリ、スマホのGPS辿り発見 「漏えいしていない保証はない」とBIPROGY

[芹澤隆徳，ITmedia]

　BIPROGY（旧日本ユニシス）は6月24日、兵庫県尼崎市の全市民46万人分の個人情報が入ったUSBメモリを紛失し、その後発見した件で記者会見を開き、発見時の状況や今後の対応を説明した。同社によると発見者はUSBメモリを紛失した協力会社の社員本人で、スマートフォンの位置情報が決め手になったという。

BIPROGYの記者会見（画像はAbema TVの中継より）

　発端は21日に実施し給付金コールセンター（大阪府吹田市）のデータ更新作業だった。当該社員は尼崎市にある市政情報センターから1人でUSBメモリにデータを格納して現地へ移動。BIPROGY社員2人と協力会社社員1人と合流し、4人でデータ更新作業を行った。

　作業が終了したのは午後7時30分ごろ。その後4人は飲食店へ行き、店を出たのは午後10時30分ごろだった。このときは鞄を所持していたことを確認している。

　しかし22日の午前3時ごろ、当該社員は路上で目を覚まし、鞄を紛失していることに気付く。朝になってから会社に休むと連絡し、1人で捜索に行くも見つからず吹田警察署に紛失届を提出した。午後2時、BIPROGYに鞄を紛失したと連絡して事件が発覚する。

USBメモリ紛失の経緯（23日発表の資料より）

　BIPROGYはUSBメモリ紛失までの経緯にセキュリティ上の問題が4つあったと話す。1つは個人情報を持ち出す際、顧客である尼崎市に運搬方法などの説明が不十分だったこと。市側は手順を正確に把握していなかった。「本来、われわれは直接データには触らない。どうしても触らなければならないときは（顧客に）同席を求めるはずが、曖昧なまま進めてしまった」という。

　2つめは個人がUSBメモリで機密情報を運んだこと。BIPROGYのセキュリティポリシーでは原則としてUSBメモリのような可搬メディアは使用しない。仮に必要になった場合でも複数人で運び、最後まで管理する決まりになっていた。USBメモリも「機能的には一般的な製品だった」。

　3つめは本来なら作業後にデータを消去するはずが実行していないこと。作業に同席したBIPROGYの社員も消去の指示と確認を怠った。

　最後にUSBメモリを指定の保管場所に戻さず、データが入ったまま飲食店へ行ったこと。「社員や協力企業に（セキュリティ）意識の欠如があったと言わざるを得ない。しっかり振り返り、対策しなければならない」とし、1）顧客の機密情報を扱う管理者を明確にする、2）セキュリティポリシーに照らし再点検を行う、3）データの持ち出し運搬ルールを徹底するなどの対策を挙げた。

発見の決め手はスマートフォンの位置情報

　USBメモリを発見したのは紛失した本人だった。BIPROGYに連絡があったのは24日の午前11時40分ごろで、警察と一緒にスマートフォンの位置情報を追い、吹田市内のマンション敷地内で見つけたという。

　当人は状況確認などのために警察署へ同行したためBIPROGYも詳細は確認できていないが、2本あったUSBメモリ（1本は予備）は当人が鞄にしまったときと同じ状態で発見され、パスワードは変わっていなかった。中のデータと暗号化の状態もそのまま。しかし当人は紛失時の記憶が曖昧で、自分でそこに置いたのか分からないという。

　BIPROGYは「誰かが鞄を動かした可能性も否定できない。情報が漏えいしていない保証はない」として、個人情報が売買されるダークウェブなどのモニタリングを継続する考え。「企業として責任を痛感している。（現場で）セルフチェック、クロスチェックが抜けていたのが一番大きな原因。今後は協力会社を含む全ての組織にプロセスを再度周知する啓発活動を行う」としている。