尼崎市USBメモリー紛失事件の原因に迫る

2023.03.15更新

 

尼崎市から委託を受けた業者のUSBメモリー紛失事故では、さまざまな原因が指摘されています。

 

もっぱら個人情報データの「持ち出し」方法とその後の管理に焦点が当たっていますが、

本件はUSBメモリーの「持ち込み」があったから、情報の「持ち出し」が可能だったのです。

 

この大元に着目する必要があります。

 

本件は不思議なことに「USBメモリーは誰のものか」が明確になっていません。

それゆえUSBメモリーは受託業者のものとは断定できませんが、受託業者は尼崎市の許可を受けずにUSBメモリーを持ち込み、作業、運搬したと解釈できます。

 

 

考えなければならないことは、

多くの不正行為や犯罪行為は、USBメモリーなどの記憶媒体や私物パソコンの「持ち込み」があったから、「持ち出し」が可能なことです。

 

そして「持ち込み」されたものは管理が難しいということです。

 

持ち込み」という大元を絶たない限り、たえず情報漏えいの危機に瀕することになってしまうのです。

 

ここでは、尼崎市の原因分析、委託を受けた業者の記者会見内容を基に、事故の真の原因について考えていきます。

 

1.尼崎市の原因分析 

尼崎市は、次の3点を事故原因と考えています。(同市HPより)

 

  1. 受託者は、委託者の事業所外でのデータ処理の許可は得ていたものの、受託者の関係社員個人が電子記録媒体で個人情報データを運搬するという具体的手法についての許可を本市から得ていなかった。また、本市が受託者に対し、持ち出す際に許可を得るべき旨を徹底していなかったこと。
  2. 個人情報データを保存した電子記録媒体を運送会社のセキュリティ便などを使用せず、個人で委託者の事業所外に持ち歩いたこと。
  3. 委託者の事業所外でのデータ移管作業終了後、その場で速やかにUSBメモリー内のデータ消去を行わなかったこと。また、速やかに帰社せず、当該USBメモリーを所持したまま、飲食店に立ち寄り、食事や飲酒をし、結果、USBメモリーが入ったカバンを紛失したこと。

 

 

尼崎市の原因分析について解説します。

 

原因1の記載は、尼崎市は受託業者がUSBメモリーで個人情報データを運搬することを知らなかったことを示しています。

 

その理由は、受託業者がUSBメモリーで運搬するという許可を得ていなかったからです。

「運搬」という言葉を「持ち出し」に置き換えてください。

 

本件USBメモリーは、持ち出しの管理対象外になっていたのです。

 

これが、本件事故の最大の要因です。

 

 

原因2と3の記載は、持ち出し管理対象外に置かれたUSBメモリーが紛失までどのような経路を歩んだかを示しています。

 

とても許されない管理ですが、重要なことは、持ち出されたものの管理はもっぱら受託業者任せになっていたということ、USBメモリーは持ち出しの管理外になっていたために、尼崎市は管理実態をわからないでいたということです。

 

そして事故が発生してから、「まさか」という管理実態が浮き彫りになりました。

 

2.「USBメモリーは誰のものか? 」ー 日テレNEWS24から

本件については、日テレNEWS24が詳細に報道しています。

「【ノーカット】紛失“個人情報USB”発見…委託業者が会見 兵庫・尼崎市」参照。 

YouTubeで見ることができます。

 

日テレNEWS24には、尼崎市から受託を受けた企業の記者会見の内容が収録されていますが、

ここでも「紛失したUSBメモリーは誰のものか」は明確に言及されていません。

 

しかし、受託業者は次のことを語っています。

 

・今回、コールセンターにデータを更新するという作業を行った。コールセンターにデータを入れるためには、建物が違うので、何らかの媒体にデータを載せて運ぶ必要があった。その方法がUSBメモリーだった。

・同社では、作業後に、USBメモリーについては、指定の保管場所に戻すといったルールになっていた。(保管場所はどこかは不明)

 

このことから、USBメモリーは受託業者側が用意したものではなかったかと推測できます。

 

作業を行った社員個人のものだったという可能性もありますが、「USBの所有者は誰か」ということは、今後の再発防止の重要なカギを握るので、明確にしていただきたいと思います。

 

3.「持ち出し」は多くの場合「持ち込み」とペアになっている

本件は、USBメモリーという記憶媒体があったため、情報が持ち出されました。

 

つまり、「持ち出し」による事故は、多くの場合「持ち込み」とペアになっているのです。

 

多くの不正行為や犯罪行為は、記憶媒体の「持ち込み」ができたから、「持ち出し」が可能だったのです。

 

 

ここで考えなければならないことは「持ち込み」です。

 

「持ち込み」について、

岡村久道氏は著書『個人情報保護法の知識〈第4版〉』(日経文庫)のなかで次の事例を紹介しています。

 

事例は、「北海道警の巡査が、警察署に持ち込んでいた私物パソコンに被疑者の捜査関係文書ファイルを入れたまま自宅に持ち帰ってネット接続したところ、インストールされていたファイル交換ソフトがコンピュータウイルスに感染していたことが原因で、このファイルがネット流出した」という事件でした。

 

独立行政法人 情報処理推進機構が発行した『組織における内部不正防止ガイドライン』にも次の「持ち込み」の事例が記載されています。

「教育機関において、先生が生徒の成績等の情報をUSBメモリで持ち出しした際に、盗難に遭い生徒の情報が漏えいしてしまった」

という事例です。

 

北海道警の事例は私物パソコンを、教育機関の事例はUSBメモリーの「持ち込み」があったから、「持ち出し」が可能だったのです。

 

 

2つの事例は、本件と、情報が記憶媒体を通して持ち出されたという意味で同じです。

 

問題なのは、「持ち込み」を管理することは容易ではないということです。

持ち込んだものの存在を把握できないからです。

存在がわからないものを管理することは難しいのです。

 

 

本件事故は、尼崎市が業者のUSBメモリーの使用を許してしまったことに、事故発生の端緒があります。

 

4.もしUSBメモリーが尼崎市が用意したものだったら、事態はどうなったのか?

あくまでも仮定の話ですが、

USBメモリーが仮に尼崎市が用意したものだったら、事態はどうなったのでしょうか?

 

当然ながら、尼崎市はUSBメモリーを管理するでしょう。

受託業者が個人情報データが格納されたUSBメモリーを持ち出すには、尼崎市の許可が必要になります。

そしてUSBメモリーが返却されるまで、尼崎市は管理を続けるでしょう。

 

これが「持ち出し管理」なのです。

 

受託業者も許可を得て持ち出したものは、返却し終えるまで、慎重に管理するでしょう。

これが「持ち出し管理」の効果です。

 

つまり、「持ち出し管理」が適正に行われると、事故は起きにくくなるのです。

それには、持ち出すものが明確になっている必要があります。

 

ところが、本件USBメモリーは持ち出し管理外だったために、いわば私物としての管理になりました。

 

それゆえ気が緩んだのか、USBメモリーが入ったカバンを持ったまま、飲食店に立ち寄り、食事や飲酒までしてしまったのです。

 

5.尼崎市はUSBメモリーの存在に気づけなかったのか?

この点が、再発防止を考える際、きわめて重要なポイントとなります。

 

結論から言えば、受託業者の当日の作業内容を把握していれば、USBメモリーを使用することは予測できたと思います。

コールセンターは場所が異なるので、データの移動が必要だったからです。

 

また、受託業者の作業内容を注視していたならば、USBメモリーの存在を発見できたと考えます。

そこにUSBメモリーやCD-ROM、見慣れぬノートパソコンがあるということが、異常事態なのです。

それは、「情報を持ち出しますよ」という宣言に他なりません。

本件、尼崎市の管理者がどのように監視していたかが焦点になります。

 

 

参考までに、情報セキュリティ時代のビジネスマナーのなかで次のことを述べました。

 

パソコンをシンクライアントパソコンにすれば、社外へのデータの持ち出しを防ぐことができるが、重要なことは、職場のみんなで私物パソコンやUSBメモリなどの外部記憶媒体をつかっている人がいないか、目を光らせておくことだ。

もし私物パソコンや外部記憶媒体をつかっている人を目にしたならば、理由を聴取したうえで、使用を即刻中止させ、保存されている業務情報や顧客情報を消去する必要がある。

日頃から、みんなで注意し合うことがとても大事だ。

 

 

そう、みんなで外部記憶媒体や私物パソコンを使用している人がいないか、注意し合うということがとても大事なのです。

 

なお、本件は、データをUSBメモリーで持ち運ぶことが前提で話が進められていますが、

本当にその手段しかないのか、冷静に考える必要があります。

 

受託会社が言うことを鵜呑みにしないことも大事です。

それは、USBメモリーでの持ち運びとなると、紛失、盗難などあらゆるリスクにさらさなければならなくなるからです。

紛失、盗難などのリスクを減らす代替手段がないかを考えることも、「持ち出し管理」の重要な役割です。

 

6.まとめ

本件は、尼崎市から委託を受けた業者で事故が発生しました。

 

考えなければならないことは、同様の事故を、あなたの会社や組織の従業員が起こしても、不思議ではないということです。

 

 

現に、個人情報保護法では、「従業者の監督」と「委託先の監督」を定めています。

 

(従業者の監督)
第二十四条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 

 

日頃から、従業者、委託先双方について、安全管理が適切に行われているか監督しなければなりませんが、

本件事故を教訓に、職場にUSBメモリーなどの記憶媒体や、私物パソコンが持込されていないか、十分に注意を払っていただきたいと思います。

 

それは、「持ち込み」が行われると、必ず、情報は持ち出されるからです。

すると、持ち出し管理外になってしまうのです。

管理外に置かれたものには、対策の打ちようがありません。

このことを、ぜひ頭に入れておいてもらいたいと思います。

 

 

 

最後に、尼崎市では本件を契機に、委託業者との契約内容などの確認を実施することになると考えますが、

文書確認も重要ですが、先方の事務所を「見る」という動作も非常に大事なことをお話ししておきます。

 

その会社の情報管理への姿勢は、机の上、複合機周辺、ゴミ箱の中を見れば、ひと目でわかります。

 

机の上や、コピー・プリント(印刷)・スキャナ・FAXの機能が一体となった複合機周りに、出しっぱなしになっている書類や印刷物がないか、ゴミ箱の中に情報が記載された書類が入っていないか確認するのです。
また、壁面や黒板に情報が記載されたままになっていないか、確認することも大事です。

 

社内の情報管理ができていない会社が、委託先の情報管理を適切に行えるわけがないのです。

 

 

 

 

関連記事:「持ち込み」とはどういうことでしょうか?

会社に個人PCの持ち込みを許すと、情報は持ち出される 

 

 

情報を軸にした 新しいビジネスマナー

情報セキュリティ時代のビジネスマナー

本の目次

 

スマホで読む方法

 

 

YouTubeでも紹介しています

 

 

 

◆新百合ヶ丘総合研究所のキャリアアップを実現する本のシリーズ

 

ビジネスマンが見た出世のカラクリ 出世はタイミングで決まる!

 

「出世しぐさ」のすすめ
※「出世しぐさ」は商標登録されました

 

エリート社員に打ち勝つ! あなただけの出世術

 

コロナ後の「たった一つの出世の掟」

 

なぜ「できる社員」はビジネスマナーを守らないのか

 

企業で働く 営業女子が輝く35のヒント

 

印象アップに踏み切れない人が、ある日突然注目を浴びるハンコの押し方

 

 

メルマガ「出世塾」の情報
(まずは発刊内容をご覧ください)
https://shinyuri-souken.com/?p=28756

 

◆キャリア理論の本紹介
https://shinyuri-souken.com/?page_id=41933