1 46万人の個人情報が入ったUSBメモリーの紛失
6月23日、尼崎市は、全市民46万517人分の個人情報が入ったUSBメモリーを紛失したと発表しました。
紛失したUSBに入っていた情報は、以下のとおりです。
- 全市民の住民基本台帳の情報(46万517人分)
氏名、郵便番号、住所、生年月日、性別、住民となった年月日など - 住民税に係る税情報(36万573件)
住民税の均等割額 - 非課税世帯等臨時特別給付金の対象世帯情報
(R3年度分7万4,767世帯分、R4年度分7,949世帯分)
申請書番号、申請受付日、申請書不達理由、振込済処理日時など - 生活保護受給世帯と児童手当受給世帯の口座情報(生保1万6,765件、児手6万9,261件)
金融機関コード、支店コード、口座区分、口座番号、口座名義
これらの情報は通常の個人情報(氏名・住所など)のレベルを超えています。住民税額や生活保護受給世帯情報など、非常にナーバスな情報であり、尼崎市民の実情が全てわかるといっても過言ではない、情報です。
2 USBが発見された!!!
その後、24日、尼崎市は、紛失したUSBが発見された、と発表しています。尼崎市民の方々は本当にホッとされたことと思います(実際に流出可能性は否定できませんが)。
3 委託業者の担当者がUSBを所持したまま居酒屋へ
紛失したのは、尼崎市が委託した業者の社員がUSBを持ったまま、居酒屋で3時間ほど飲酒して酔って記憶なくしてかばんをなくしたためです。
詳細は、以下のとおり
6月21日17時 社員は市の施設で個人情報をUSBに複製
21日19時 社員はUSBを持って吹田市にあるコールセンターに移動し、データ移管作業完了
21日19時 社員はUSBをかばんに入れて居酒屋へ 社員は酔って記憶をなくして路上で眠り込む
22日03時 社員は、路上で目を覚まし、かばんの紛失を認識
その後、当該社員がかばんの存在する可能性のある箇所を捜索したが、発見できず。
22日09時 当該社員が仕事を休む連絡あり
22日14時 当該社員が会社に紛失した事実連絡
22日15時 会社から尼崎市に対しUSB紛失の事実が報告
23日12時 尼崎市と委託先であるBIPROGY社の共同記者会見
24日 USB発見!!!
7月1日 尼崎市の委託先であるBIPROGY社 第三者委員会を設置
会社帰りに会社のPCを持ったまま、飲み会に参加する方をしばしば見かけます。これは本当に危ないです。今回のケースは非常にナーバスな情報を保有したまま飲み会に行った状況です。この社員の方は、紛失に気が付いたとき、
4 委託先は再々委託先であった
今回の事象は、
尼崎市 ⇒ BIPROGY社 ⇒ A社(再委託先)⇒ B社(再々委託先)
との構図であり、単なる委託先ではなく、再々委託先に所属する社員の方がUSBを紛失しています。
システム開発業界における多重委託構造は本当によく見受けられます。BIPROGY社は、本件業務につき、再委託の許可を得ることを怠ったと報道されています。
ましてや再々委託という状況であり、業務上取り扱う情報が企業秘密や個人情報の場合には、適切な情報管理は難しくなることが推察されます。
5.再委託禁止条項を定めているだけで安心してはいけない
自社のサービスに関するシステムや社内のシステムの開発、構築を他社に依頼することは日常的に行われていると思います。
皆さんもご記憶にあるかと思いますが、2014年 株式会社ベネッセコーポレーションでは、2895万件の顧客の個人情報が流出した事件がありました。このケースも、ベネッセの業務委託先の社員が名簿業者へ情報を売却したという、委託先で生じた事件でした。
業務委託を行う際の契約には、
「事前の承諾なく第三者に委託することはできない」旨の再委託禁止の条項が定められていることがほとんどです。尼崎市からBIPROGY社への業務委託契約においても、再委託禁止条項は入っていたようです。
しかし、無断で再委託がなされていた、ということです。
他社にシステム開発などの委託を行う際、気を付けるべきポイントは、以下のとおり。
① 委託先が自社のどのような情報触れる可能性があるのか
② 再委託禁止条項が契約書に定められているか
③ 契約締結時に改めて再委託をする際には必ず許可を得るように口頭+メールで確認
①については、実際、システムの開発を委託する際にあまり注意を払っていない企業が多いです。顧客の個人情報などは漏洩すると対外的に大炎上する可能性が高いです。企業の信用度が一気に地に落ちます。委託先がどのような情報に触れるのか、委託段階において、自社と委託先間で十分に協議を行うように心がけてください。
②については、ほとんどの契約書に定められているとは思います。しかし、再委託を原則禁止することの意味は、情報漏洩のケースでは極めて重要です。自社としても再委託を禁止することの意味を改めて確認してほしいところです。
③について、契約締結時の馴れ合いを防ぐために、最も重要なポイントです。「相手方は大手だから安心だろう」と思って再委託などするはずがない、と思い込んでいることがあります。極めて危険です。②のとおり、契約に再委託禁止するのみではなく、委託先と「再委託することはありませんよね」と口頭で確認するとともに、契約締結前の段階でメールで「仮に再委託をするような場合には必ず事前に許可を得てください」と注意喚起を行うように心がけてください。
