市役所のPC83台が盗難被害 中に11万人分の個人情報――委託先社員を逮捕、転売目的か 浦添市

沖縄県浦添市は5月29日、業務用ノートPC83台が盗難に遭い、うち3台に住民登録者11万5526人分などの個人情報が含まれていたと発表した。現時点において、情報の流出や悪用被害は確認していないという。

[林裕也，ITmedia]

　沖縄県浦添市は5月29日、業務用ノートPC83台が盗難に遭い、うち3台が市民の個人情報を含んでいたと発表した。これまでに個人情報が含まれていた3台を含む、47台を回収済みで、現時点において、情報の流出や悪用被害は確認していないという。

事案の概要

　個人情報を含む3台のうち、市民課のPCには2025年11月17日時点の住民登録者11万5526人分の情報（氏名、生年月日、住所、本籍、在留カード番号、国籍など23項目）を記録。給付金室のPCには、定額減税補足給付金（不足額給付分）の申請者112人分の情報（氏名、住所、電話番号、メールアドレス、口座番号、生年月日の6項目）を保存していた。

盗難にあったノートパソコンに含まれる個人情報

　市の説明によると、25年4月に業務用ノートPC1400台のリース契約を結び、同年9〜10月に1030台を入れ替え。残り370台は未使用機として市役所内の鍵をかけた部屋に保管していたが、26年3月下旬に意図的な抜き取りの痕跡を確認し、浦添警察署へ相談した。その後、防犯カメラ映像などから市のヘルプデスク委託会社社員の不審な動きを把握、警察が4月17日に当該社員を逮捕。同月21〜24日の全庁調査で計83台の所在不明が判明したという。

　当該社員は業務上、管理用パスワードを把握できる立場にあったが、市の調査や警察からの報告では、個人情報取得を目的としていた事実は確認しておらず、盗難PCを販売事業者に持ち込んでいたことから転売目的とみている。

　原因について浦添市は、入替え作業中、未使用機を含めた業務用PC全体の配置状況を十分に把握できていなかった点を挙げる。加えて、PC受渡し時の確認手順やデータ消去方法など具体的な運用ルールを定めていなかった点、委託先作業員への管理・連携不足も一因とした。

原因

　再発防止策として、未使用機の保管場所の見直しや管理者用パスワードの変更、資産台帳の整備と定期的な棚卸しなどをすでに実施。今後は機材保管庫への入退出管理システム導入、サーバ室の入退出記録の定期確認、職員向け情報セキュリティ研修なども進める方針だとしている。

再発防止策