公務・自治体の情報漏洩、個人情報流出事件9選

公務や自治体における情報漏洩事件が増加する中、セキュリティ対策の見直しが急務となっています。特に、外部委託や誤操作による情報漏洩リスクが高まりつつあり、これに対処するための適切な方策が求められています。

本記事では、公務・自治体で実際に発生した情報漏洩事例をもとに、どのような対策が必要かを考察します。セキュリティポリシーの策定も含め、組織全体での情報管理体制の強化に役立つポイントをご紹介します。

公務・自治体の情報漏洩件数

情報化社会の進展に伴い、我々の生活においても個人情報の漏洩等の事件に関する報道に接するようになってきました。NPO法人日本ネットワークセキュリティ協会が2019年に公表した「情報セキュリティインシデントに関する調査報告書【速報版】」によると、2018年に新聞やインターネットなどで報道された個人情報漏洩事件の件数は443件、漏洩した個人情報は561万3,797人分にも上ります。
これらの方々に対する想定損害賠償総額は2,684億5,743万円、1件当たりに換算すると6億3,767万円と、１件でもセキュリティインシデントを発生させた場合に企業や自治体などの組織が被る被害は大変大きなものになるといえるでしょう。

2018年に発生した情報漏洩事件の件数を業種別に見ると、「公務」が最も多く131件となっており、全体の29.6%を占めています。また業種全体で、原因別に情報漏洩事件の割合を見た際には、「紛失・置き忘れ」が最も多く116件(全体の26.2%)、次いで「誤操作」が109件(同24.6%)、「不正アクセス」が90件(同20.3%)と続きます。

公務・自治体による紛失・置き忘れを原因とする情報漏洩事件の内容を確認すると、パソコンやUSBなどの可搬物を紛失したケースも発生していますが、その他にも住民や学校の生徒に関する名簿や個人情報を記載した資料など、紙の資料を紛失したケースも発生しているのが特徴であると考えられます。

参照：2018年情報セキュリティインシデントに関する調査結果～個人情報漏えい編～(速報版)

外部委託の中で情報が漏洩するケースも

「公務」に関する情報漏洩については、外部委託業務において発生したものもあります。
特に2022年6月に兵庫県尼崎市で発生したセキュリティインシデントは、全市民の個人情報が格納されたUSBメモリがずさんな取扱いの上に紛失するという内容とも相まって、当時マスコミでも大きく取り上げられる問題となりました。地方自治体を所管する総務省においても、情報セキュリティ対策の一環としての外部委託先管理の強化は喫緊の課題との認識の下、都道府県や政令指定都市の関係部長に対して以下の指示を行っています。

①情報システムに関する業務の外部委託にあたっては、業者との間で情報セキュリティ要件を明記した契約を締結すること(作業場所の特定や従業員教育、業務終了時の情報資産の返却・廃棄などの要件を明確化)
②情報セキュリティの管理者は、委託業者がセキュリティ対策を適切に行っていることを定期的に確認し、必要に応じて是正措置を指示すること

▼参照
・地方公共団体における情報セキュリティポリシーに関するガイドライン（令和4年3月発表）| 総務省
・委託事業者へのセキュリティ対策の徹底及び確認について | 総務省

公務・自治体での情報漏洩事件5選

それでは次に、実際に公務・自治体で発生した情報漏洩に関する事例をご紹介しましょう。

選挙データの情報漏洩(大阪府堺市)

自治体の名前	大阪府栄市
公表時期	2015年11月
被害規模	約68万人の個人情報流出
原因	市の管理体制の甘さ

2015(平成27)年6月、大阪府堺市の職員が作成したと思われるメール文書や事務マニュアルなどの情報がインターネット上で閲覧可能な状態にあることが発覚しました。調査の結果、同市職員が市選挙管理委員会に在籍当時、有権者情報などのデータを含む選挙システムを市から持ち出し、自宅のパソコンに保管していたことが判明しました。

市によると、2011(平成23)年11月に開催された大阪府知事選挙時の、約68万人の有権者データを含む15ファイルが外部サイトからアクセスされ、個人情報が流出した可能性があるとのことです。

また、調査の結果、同職員は選挙管理委員会在籍時に開発した選挙システムを他の自治体や民間企業に売り込むことを企図していたとのことで、市当局の管理の甘さが指摘される事案となりました。
▼参照
・市職員による個人情報の流出について（平成27年9月13日掲載）　堺市
・流出したと考えられる個人情報　全15ファイルについて

住民の個人情報の不正持ち出し(宮城県釜石市)

自治体の名前	宮城県釜石市
公表時期	2022年5月
被害規模	約600万人の個人情報流出
原因	職員によるデータの不正持ち出し

2022(令和4)年5月、宮城県釜石市の職員3名が住民基本台帳に記載された市民の個人情報を不正に持ち出し、自宅のパソコンに保管していたことが判明しました。市の調査によると、対象は全市民の個人情報約3万人分で、そのうち約600人についてはマイナンバーも含むものでした。

対象となったデータの外部流出の事実は確認されていませんが、市としては全容解明のため職員を刑事告訴しています。市としては事象発生を重く受け止め、市の調査委員会を発足。委員会は報告書を提出し、以下の指摘をしています。

①データの持ち出しには上司の承認が必要であるにもかかわらず口頭でのやり取りのみで済ますなど、市側の管理体制に甘さがあった
②システムを見直し、上司の承認を得ずに持ち出したデータは閲覧不能にするなどの対応が必要
③すべての職員に対するセキュリティ意識向上のための研修が必要

責任者である市長は、信頼回復のため、職員一丸となって取り組む旨表明しています。

▼参照
・個人情報の漏えいについての市長メッセージ【令和4年10月4日追加】 | 釜石市
・釜石市の個人情報不正持ち出し 市の調査委が報告書提出 ｜NHK 岩手県のニュース

メールの誤送信による個人情報漏洩(福岡県)

自治体の名前	福岡県
公表時期	2021年1月
被害規模	9863人の個人情報流出
原因	誤操作による第三者へアクセス権付与

2021(令和3)年1月、福岡県はメールの誤送信により新型コロナウィルス感染症陽性者に関する個人情報(9,683人分)が外部に漏洩したことを明らかにしました。

県によると、当該個人情報はクラウド上に保管していましたが、それらの情報に関するアクセス権付与のメールを外部の者に誤送信したものです。当該誤送信先の方から誤送信の連絡が県に対してありましたが、その際アクセスを不能とする対処が不十分で個人情報が引き続き閲覧可能でした。これを問題視した誤送信先は東京の報道機関5社に情報提供、系列の福岡の報道機関から県に照会があり本件発覚に至りました。

県ではクラウド上のデータを削除するとともに、誤送信先や報道機関にデータの保存がないことを確認の上、印刷した資料を廃棄することを依頼、適切な処置を行った旨回答を得ています。県は誤送信先や報道機関以外の外部への情報漏洩はなかったとしていますが、クラウドを使用することはともかく、データへのアクセス権限の管理を行っていなかったことが問題です。

県としてはあらためて個人情報保護に関する適切な処置を行うことを全庁に徹底するとともに、クラウドに関してはよりセキュリティの高いサービスを使用する旨表明しています。

参照：新型コロナウイルス感染症対策本部（調整本部）における個人情報の漏えい事案について - 福岡県庁ホームページ

個人情報をダウンロード資料として誤送信(東京都)

自治体の名前	東京都
公表時期	2024年8月
被害規模	約690人の個人情報流出
原因	都職員の確認不足

2024(令和6)年、東京都建築指導事務所が保有していた多摩屋外広告物許可する関連情報の一部が流出しました。 平成15年1月から令和5年10月までで、屋外広告物許可に係る情報の一部のうち、流れた情報には申請者や屋外広告物管理者、事業者などの名前や氏名が含まれていました。

東京都の調査によると、受託会社が説明会資料を作成する際、過去に多摩指導事務所が保持していた屋外広告物許可情報をシステム移行のために使用していたデータを十分に確認せずにまた、個人情報のマスキングや記録されている箇所の確認が正しかったため、間違って個人情報を含む説明会資料が区市町に提供されてしまいました。

事態は説明会参加自治体からの指摘により判明し、流出した個人情報は690名に及び、一旦連絡先が確認できる方には認めと経緯の説明が行われることが表明されました。

参照：個人情報の漏えいについて - 東京都庁公式ホームページ

メールのご送信と確認不足による情報漏洩(奈良県奈良市)

自治体の名前	奈良県奈良市
公表時期	2020年9月
被害規模	約397人の個人情報流出
原因	資料の誤送信、掲載前の確認不足

2020(令和2年)年9月に、市議会総務委員会（文書質問）に対する回答として、支払調書に関する資料を作成し、議事会事務局へ送付した際に、資料を各議員へPDFデータより送付し、同データは令和2年9月2に市のホームページに掲載されてしまいました。 同日中に流出した個人情報を閲覧した方から市役所へ電話連絡が入り、該当するページを削除しました。

市の調査によると、流失した情報は、使用料及び賃借料、委託料に係る支払調書の有無に関する資料（平成27年分から平成30年分）」（財政課）の件名及び債権者名欄に記載した個人名等の延べ397件にものぼり、今後は職員の個人情報保護及び情報セキュリティに関する意識を高めるとともに、資料や文書など十分に確認をすることや、ホームページに掲載する資料は掲載前に複数人による確認を徹底することで、再発防止に努めると表明しています。

参照：個人情報漏えいについてのお詫びとご報告 - 奈良市公式ホームページ

公務・自治体の外部委託に伴う情報漏洩事件4選

次に公務における外部委託をめぐる情報漏洩事件の内容をご紹介します。

委託業者によるHDD転売・情報流出(神奈川県)

委託先	HDD廃棄業者
公表時期	2020年9月
被害規模	54TBにものぼる県民、県内納税者、県内企業情報の流出
原因	廃棄業者職員の不正によるHDDの転売

2019(令和元)年12月、神奈川県から委託を受けたHDD廃棄業者が県の行政データを大量に格納したHDDを持ち出し、ネットオークションで販売していたことが判明しました。行政データの中には県民の住所が記載された納税記録や、企業の提出書類等が含まれており、データ量は54テラバイトに上る可能性があるとのことです。

県によると、県は富士通リースからサーバを借用、HDDは交換時期到来のため同社に返却しました。富士通リースは別の業者にデータの消去および廃棄を委託していましたが、当該業者の社員がデータ消去の不十分な状態のまま一部を持ち出しネットオークションで販売していました。

県はHDDの返却に際しデータの初期化を行ったとのことですが、データの暗号化はされておらず、また専用のソフトウェアで復元が可能でした。県としては再発防止に努める旨コメントしています。

参照：神奈川県、行政情報に大量流出懸念　廃棄機器転売され - 日本経済新聞

難病患者の個人情報流出(厚生労働省)

委託先	国立研究開発法人医薬基盤・健康・栄養研究所
公表時期	2022年8月
被害規模	5,640人の患者個人情報の流失
原因	委託先職員による作業ミス

2022(令和4)年８月、厚生労働省より研究者に提供した指定難病患者に関するデータに、延べ5,640名分の患者の個人情報が含まれていたことが判明しました。厚生労働省の報告によると、同省から難病に関するデータベースの管理運営を委託されている国立研究開発法人医薬基盤・健康・栄養研究所(以下研究所)がデータベースから対象データを抽出する際に作業ミスがあり、本来であれば抽出の過程で難病患者に関する個人情報が削除されるところ、削除されないまま研究者に提供されたとのことです。

同省によれば研究者から個人情報を回収の上、研究者以外の者への流出はないことを確認済とのことです。同省は、再発防止策としてデータ提供時の研究所とのダブルチェックの徹底や作業手順の見直しを行うとしています。

参照：指定難病患者データの研究利用のための第三者提供における個人情報の流出及びその対応について

マルウェア感染による都道府県のメール情報流出

委託先	NTTデータ関西
公表時期	2022年7月
被害規模	2,312件の電子メールアドレス
原因	サーバーのウイルス感染

2022(令和4)年7月、NTTデータ関西は都道府県から受託している業務において、マルウェア感染により神奈川県をはじめとする27の都道府県の電子メール情報最大2,312件が流出したことを公表しました。

同社によると、同社は各都道府県から、県内市町村が共同利用している電子申請・届出システムの運用を受託しており、そのヘルプデスク用の端末がマルウェア(Emotet)に感染したとのことです。同社は再発防止策として、情報セキュリティ対策を強化する旨表明しています。

▼参照：
・（お知らせ）不審メール（なりすましメール） に関するお詫びと注意喚起について | ニュースリリース・お知らせ | 株式会社ＮＴＴデータ関西
・NTTデータ、神奈川など自治体向け受託業務で情報漏洩 - 日本経済新聞

サーバー攻撃を受け、推計で最大およそ42万人分の個人情報が流出

委託先	株式会社イセトー
公表時期	2024年6月
被害規模	70万人以上の個人情報流出
原因	サーバー攻撃

2024(令和6)年7月、株式会社イセトーは、契約が終了した時点で削除するはずのデータを保存したままにしており、そのサーバーが攻撃を受けたことで、推計で愛知県豊田市の最大42万人分の個人情報が流出しました。

市の調査によると、これらの情報は一時的にネット上で公開され、ダウンロードできる状態だったということですが、これまでに具体的な被害の報告はないとのことです。

同社は、徳島県のおよそ20万件の自動車の納税者の個人情報が流出したことを明らかにしたほか、和歌山市も住民税の対象者の15万件余りの氏名や住所などの情報が流出したと発表しました。

参照：豊田市 個人情報約42万人分流出 委託会社がランサムウエア被害 - NHKニュースWeb

公務・自治体の情報漏洩対策

公務で発生した情報漏洩事件について解説してきましたが、これらの事件を踏まえ、公務における各自治体の情報漏洩対策としては何が必要か、あらためて考察してみました。

情報の紛失・置き忘れ対策や誤送信対策

NPO法人日本ネットワークセキュリティ協会が2019年に公表した「情報セキュリティインシデントに関する調査報告書【速報版】」から、情報漏洩事件の割合を原因別に見ると、「紛失・置き忘れ」と「誤操作」で全体の50%近くを占めています。したがってこれらに関する対策の実施が必要です。具体的には以下の通りです。

①紛失・置き忘れ対策

個人情報管理のための対策として、個人情報の取り扱い責任者や管理者を定めた上で、実際の個人情報の取扱手順を厳格に定めることが必要です。個人情報の持ち出しに関しても一段とハードルを上げるなど、罰則を含む厳格な規程を定める必要があります。これは個人情報を厳しく管理している金融業界でも行われていることです。

またやむを得ず個人情報を可搬媒体に記録して持ち出す場合は、媒体にパスワードを設定するだけでなく、データも暗号化するなど、二重三重の防御策が必要です。

②誤操作・誤送信対策

メールの外部発信に際しては、必ず管理者の内容確認や承認を必要とするなどの対策が必要です。また、誤操作を起こさないよう、新入社員や外部委託先の従業員でも理解がしやすいマニュアルや手順書を作成するなども、誤操作・誤送信の対策の一つになり得ます。

業務の外部委託における情報漏洩対策

自治体が業務を外部委託するにあたっては、「プロの業者に委託しているから任せていれば大丈夫」という意識を改めることが必要です。今後は「外部の委託業者は自分たちが目を光らせていなければ何をするかわからない」という基本的な考え方にもとづいて行動することが必要でしょう。

具体的には総務省が各都道府県に示達したように、契約書にセキュリティ遵守に関する文言を盛り込むことや、実際の業務にあたってはセキュリティの遵守事項を具体的に記述したチェックリストを用いて業者の作業を確実にチェックすることが重要です。

受託する業者の側でも自治体から信頼を得られるよう、実際の作業にあたっては作業者の統制をしっかり行うとともに、普段からのセキュリティ教育を定期的に行うことが必要です。

公務・自治体におけるセキュリティポリシーの見直しと強化

公務や自治体における情報漏洩を防ぐためには、まずセキュリティポリシーの見直しと強化が不可欠です。自治体は多くの住民の個人情報を扱うため、万が一の漏洩は組織の信頼性を大きく揺るがす可能性があります。そのため、既存のセキュリティポリシーを詳細に分析し、今回の事案で明らかになった脆弱性や課題に対処するための改訂が必要です。

ポリシーの見直しでは、自治体が扱う情報の分類やその取り扱い方法、アクセス権限の管理体制、暗号化の基準、そして外部デバイスの使用制限など、幅広い項目を包括的に検討する必要があります。特に、外部委託業務に関連するリスク管理やクラウドサービスの活用、リモートワークなど新しい働き方に対応したガイドラインを追加することも重要です。

改訂されたセキュリティポリシーは、経営層や管理者の承認を得た後、全従業員に周知徹底される必要があります。さらに、ポリシーの順守状況を定期的に監査し、必要に応じてアップデートを行うことで、継続的な改善を図ります。このようにPDCAサイクルを活用することで、セキュリティ体制の強化と持続的な向上が期待できます。

セキュリティポリシーは、組織のセキュリティ文化の土台となるものであり、その適切な運用と定期的な見直しは、長期的なセキュリティ向上に直結します。自治体や公務の現場でも、迅速かつ適切に対応できるよう、最新のセキュリティ対策を整備し、漏洩リスクを最小限に抑えることが求められています。

情報セキュリティポリシーの具体的な作成方法や改善点に関する詳細は、以下の資料を参考にすることで、さらに深く理解することができます。

「情報セキュリティーポリシー」とは? | 漏洩チェッカー

まとめ

公務や自治体における情報漏洩は、組織の信頼を揺るがす深刻な問題であり、住民のプライバシーを守るためにも一層の対策が求められています。

内部の情報管理体制の強化、外部委託業者との契約内容の見直し、職員教育の徹底といった施策を通じて、適切な技術的対策を講じるとともに、職員全員がセキュリティに関する知識と意識を高めることで、公務・自治体全体での情報セキュリティの強化されます。

そういった取り組みが組織としての信頼を獲得することにつながるでしょう。

関連記事：情報漏洩調査の6つの種類、対応ステップ、マニュアル作成まで解説！