尼崎市がUSBメモリ紛失事件の報告書を公開 発覚の詳細な経緯が明らかに

兵庫県尼崎市は2022年6月に発生したUSBメモリの紛失事案について調査報告書を公開した。事案が発生するまでに経緯やフォレンジックの結果などがまとまっている。

[田渕聖人，ITmedia]

　兵庫県尼崎市は2022年11月28日、同市のWebサイトで「尼崎市 USB メモリ―紛失事案に関する調査報告書」を公開した。

　尼崎市は2022年6月23日、同市の市民46万517人分の氏名や住所、生年月日を含む情報を格納したUSBメモリを紛失したと報告していた。なお、翌24日にはカバンとともにUSBメモリが発見されている。今回の報告書は同事案を受けて、個人情報の漏えいに関する詳細な調査結果などをまとめたものだ。

尼崎市は「尼崎市 USB メモリ―紛失事案に関する調査報告書」を公開した（出典：尼崎市のWebサイト）

「個人情報の漏えいは確認されなかった」　調査の概要は？

　尼崎市が公開した調査報告書は以下から確認できる。事案が発生するまでに経緯を詳細にまとめている他、フォレンジックを実施した詳細な端末やその結果、現状のUSBメモリの管理状況、再発防止策と提言などをまとめている。

• 尼崎市 USB メモリ―紛失事案に関する調査報告書

　尼崎市は報告書と同日に公開した「尼崎市 USB メモリー紛失事案調査委員会調査報告書を受けての市の対応について」で、「個人情報の漏えいの有無について、本件に関する業務を委託していたBIPROGYの関係従業員のヒアリングに加えて、発見されたUSBメモリにとどまらず、関係するPCやサーバなども含めてデジタルフォレンジック調査を実施した結果、個人情報の漏えいは確認されなかった」と報告した。

　同資料は、本件事案の問題の所在について「BIPROGYは、市が契約書などで定めていたにもかかわらず、市の承諾を得ることなく委託業務の再委託や再々委託を実施していた。USBメモリの外部運搬については、業務委託契約の仕様書にも鍵付き金属ケースでの運搬が規定されているが、そうして手続は取られていなかった。セキュリティ対策基準を含む契約の締結に関わった同社の従業員は、紛失者が参加したデータ移転作業後の飲み会について異議や注意を喚起しないなど、作業者の管理監督ができていなかった」と指摘している。

　また尼崎市は同資料で、「一方で尼崎市はデータの管理者としてチェック機能を効かせることで、外部業者のらん用を抑止するとともに作業者に安全を確保すべき十分な自覚を持たせる必要があったところ、十分に実施できなかった」とコメントした。

　尼崎市は再発防止策として「既に実施している対策に加えて、情報資産の取扱いに関する事故を再び起こさないために、市役所全体の個人情報の安全管理措置及び情報セキュリティ対策の向上に向けた取組が必要」だとし、「厳格なセキュリティ監査を実施し、セキュリティ研修の充実により職員自らが考える習慣を確立することが必要である」と指摘した。同市は、既に以下の再発防止策とセキュリティ強化策を実施済みだ。

2022年6月28日：全所属向けに市長通達「個人情報の保護及び情報セキュリティの順守について」を発信し、個人情報取扱いに関する注意喚起

2022年7月：サーバルームの入室への事業者入室を制限

2022年9月：サーバルーム入退室管理に生体認証を導入

2022年10月：「再委託承認申請書」に再委託先が業務を適正に履行することが分かる書類の添付を義務付けるとともに、受託者が再委託先の全ての行為及びその結果について責任を負うことなどの事項を追記

2022年10月：「データ消去証明書」および「（記憶媒体等の）廃棄証明書」の提出を義務付け

2022年11月：IC カード貸与依頼時に顔写真付き社員証等の写しの添付を義務付け

2022年11月：課長級以上の全職員に対してリスクアセスメント研修を実施

2022年11〜12月：全職員を対象として情報セキュリティ研修を実施

　尼崎市は今後、IT専門職を設置して情報セキュリティポリシーの改訂を実施するとともに、情報セキュリティポリシーの実効性を確実に持たせるための監査体制の強化や各種研修などの充実を図る予定だ。