情報漏洩対策ツール「漏洩チェッカー」の詳細はこちら

公務・自治体の情報漏洩件数

情報化社会の進展に伴い、我々の生活においても個人情報の漏洩等の事件に関する報道に接するようになってきました。NPO法人日本ネットワークセキュリティ協会が2019年に公表した「情報セキュリティインシデントに関する調査報告書【速報版】」によると、2018年に新聞やインターネットなどで報道された個人情報漏洩事件の件数は443件、漏洩した個人情報は561万3,797人分にも上ります。
これらの方々に対する想定損害賠償総額は2,684億5,743万円、1件当たりに換算すると6億3,767万円と、1件でもセキュリティインシデントを発生させた場合に企業や自治体などの組織が被る被害は大変大きなものになるといえるでしょう。

2018年に発生した情報漏洩事件の件数を業種別に見ると、「公務」が最も多く131件となっており、全体の29.6%を占めています。また業種全体で、原因別に情報漏洩事件の割合を見た際には、「紛失・置き忘れ」が最も多く116件(全体の26.2%)、次いで「誤操作」が109件(同24.6%)、「不正アクセス」が90件(同20.3%)と続きます。

公務・自治体による紛失・置き忘れを原因とする情報漏洩事件の内容を確認すると、パソコンやUSBなどの可搬物を紛失したケースも発生していますが、その他にも住民や学校の生徒に関する名簿や個人情報を記載した資料など、紙の資料を紛失したケースも発生しているのが特徴であると考えられます。

参照:2018年情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)

外部委託の中で情報が漏洩するケースも

「公務」に関する情報漏洩については、外部委託業務において発生したものもあります。
特に2022年6月に兵庫県尼崎市で発生したセキュリティインシデントは、全市民の個人情報が格納されたUSBメモリがずさんな取扱いの上に紛失するという内容とも相まって、当時マスコミでも大きく取り上げられる問題となりました。

地方自治体を所管する総務省においても、情報セキュリティ対策の一環としての外部委託先管理の強化は喫緊の課題との認識の下、都道府県や政令指定都市の関係部長に対して以下の指示を行っています。

①情報システムに関する業務の外部委託にあたっては、業者との間で情報セキュリティ要件を明記した契約を締結すること(作業場所の特定や従業員教育、業務終了時の情報資産の返却・廃棄などの要件を明確化)
②情報セキュリティの管理者は、委託業者がセキュリティ対策を適切に行っていることを定期的に確認し、必要に応じて是正措置を指示すること

▼参照
地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月発表)| 総務省
委託事業者へのセキュリティ対策の徹底及び確認について | 総務省

公務・自治体での情報漏洩事件3件

それでは次に、実際に公務・自治体で発生した情報漏洩に関する事例をご紹介しましょう。

選挙データの情報漏洩(大阪府堺市)

2015(平成27)年6月、大阪府堺市の職員が作成したと思われるメール文書や事務マニュアルなどの情報がインターネット上で閲覧可能な状態にあることが発覚しました。調査の結果、同市職員が市選挙管理委員会に在籍当時、有権者情報などのデータを含む選挙システムを市から持ち出し、自宅のパソコンに保管していたことが判明しました。

市によると、2011年(平成23年)11月に開催された大阪府知事選挙時の、約68万人の有権者データを含む15ファイルが外部サイトからアクセスされ、個人情報が流出した可能性があるとのことです。

また、調査の結果、同職員は選挙管理委員会在籍時に開発した選挙システムを他の自治体や民間企業に売り込むことを企図していたとのことで、市当局の管理の甘さが指摘される事案となりました。

▼参照
市職員による個人情報の流出について(平成27年9月13日掲載) 堺市
流出したと考えられる個人情報 全15ファイルについて

住民の個人情報の不正持ち出し(宮城県釜石市)

2022(令和4)年5月、宮城県釜石市の職員3名が住民基本台帳に記載された市民の個人情報を不正に持ち出し、自宅のパソコンに保管していたことが判明しました。市の調査によると、対象は全市民の個人情報約3万人分で、そのうち約600人についてはマイナンバーも含むものでした。

対象となったデータの外部流出の事実は確認されていませんが、市としては全容解明のため職員を刑事告訴しています。市としては事象発生を重く受け止め、市の調査委員会を発足。委員会は報告書を提出し、以下の指摘をしています。

①データの持ち出しには上司の承認が必要であるにもかかわらず口頭でのやり取りのみで済ますなど、市側の管理体制に甘さがあった
②システムを見直し、上司の承認を得ずに持ち出したデータは閲覧不能にするなどの対応が必要
③すべての職員に対するセキュリティ意識向上のための研修が必要

責任者である市長は、信頼回復のため、職員一丸となって取り組む旨表明しています。

▼参照
個人情報の漏えいについての市長メッセージ【令和4年10月4日追加】 | 釜石市
釜石市の個人情報不正持ち出し 市の調査委が報告書提出 |NHK 岩手県のニュース

メールの誤送信による個人情報漏洩(福岡県)

2021(令和3)年1月、福岡県はメールの誤送信により新型コロナウィルス感染症陽性者に関する個人情報(9,683人分)が外部に漏洩したことを明らかにしました。

県によると、当該個人情報はクラウド上に保管していましたが、それらの情報に関するアクセス権付与のメールを外部の者に誤送信したものです。当該誤送信先の方から誤送信の連絡が県に対してありましたが、その際アクセスを不能とする対処が不十分で個人情報が引き続き閲覧可能でした。これを問題視した誤送信先は東京の報道機関5社に情報提供、系列の福岡の報道機関から県に照会があり本件発覚に至りました。

県ではクラウド上のデータを削除するとともに、誤送信先や報道機関にデータの保存がないことを確認の上、印刷した資料を廃棄することを依頼、適切な処置を行った旨回答を得ています。県は誤送信先や報道機関以外の外部への情報漏洩はなかったとしていますが、クラウドを使用することはともかく、データへのアクセス権限の管理を行っていなかったことが問題です。

県としてはあらためて個人情報保護に関する適切な処置を行うことを全庁に徹底するとともに、クラウドに関してはよりセキュリティの高いサービスを使用する旨表明しています。

参照:新型コロナウイルス感染症対策本部(調整本部)における個人情報の漏えい事案について - 福岡県庁ホームページ

公務・自治体の外部委託に伴う情報漏洩事件3件

次に公務における外部委託をめぐる情報漏洩事件の内容をご紹介します。

委託業者によるHDD転売・情報流出(神奈川県)

2019(令和元)年12月、神奈川県から委託を受けたHDD廃棄業者が県の行政データを大量に格納したHDDを持ち出し、ネットオークションで販売していたことが判明しました。行政データの中には県民の住所が記載された納税記録や、企業の提出書類等が含まれており、データ量は54テラバイトに上る可能性があるとのことです。

県によると、県は富士通リースからサーバを借用、HDDは交換時期到来のため同社に返却しました。富士通リースは別の業者にデータの消去および廃棄を委託していましたが、当該業者の社員がデータ消去の不十分な状態のまま一部を持ち出しネットオークションで販売していました。

県はHDDの返却に際しデータの初期化を行ったとのことですが、データの暗号化はされておらず、また専用のソフトウェアで復元が可能でした。県としては再発防止に努める旨コメントしています。

参照:神奈川県、行政情報に大量流出懸念 廃棄機器転売され - 日本経済新聞

難病患者の個人情報流出(厚生労働省)

2022(令和4)年8月、厚生労働省より研究者に提供した指定難病患者に関するデータに、延べ5,640名分の患者の個人情報が含まれていたことが判明しました。厚生労働省の報告によると、同省から難病に関するデータベースの管理運営を委託されている国立研究開発法人医薬基盤・健康・栄養研究所(以下研究所)がデータベースから対象データを抽出する際に作業ミスがあり、本来であれば抽出の過程で難病患者に関する個人情報が削除されるところ、削除されないまま研究者に提供されたとのことです。

同省によれば研究者から個人情報を回収の上、研究者以外の者への流出はないことを確認済とのことです。同省は、再発防止策としてデータ提供時の研究所とのダブルチェックの徹底や作業手順の見直しを行うとしています。

参照:指定難病患者データの研究利用のための第三者提供における個人情報の流出及びその対応について

マルウェア感染による都道府県のメール情報流出

2022(令和4)年7月、NTTデータ関西は都道府県から受託している業務において、マルウェア感染により神奈川県をはじめとする27の都道府県の電子メール情報最大2,312件が流出したことを公表しました。

同社によると、同社は各都道府県から、県内市町村が共同利用している電子申請・届出システムの運用を受託しており、そのヘルプデスク用の端末がマルウェア(Emotet)に感染したとのことです。同社は再発防止策として、情報セキュリティ対策を強化する旨表明しています。

▼参照:
(お知らせ)不審メール(なりすましメール) に関するお詫びと注意喚起について | ニュースリリース・お知らせ | 株式会社NTTデータ関西
NTTデータ、神奈川など自治体向け受託業務で情報漏洩 - 日本経済新聞

公務・自治体の情報漏洩対策

公務で発生した情報漏洩事件について解説してきましたが、これらの事件を踏まえ、公務における各自治体の情報漏洩対策としては何が必要か、あらためて考察してみました。

情報の紛失・置き忘れ対策や誤送信対策

NPO法人日本ネットワークセキュリティ協会が2019年に公表した「情報セキュリティインシデントに関する調査報告書【速報版】」から、情報漏洩事件の割合を原因別に見ると、「紛失・置き忘れ」と「誤操作」で全体の50%近くを占めています。したがってこれらに関する対策の実施が必要です。具体的には以下の通りです。

①紛失・置き忘れ対策

個人情報管理のための対策として、個人情報の取り扱い責任者や管理者を定めた上で、実際の個人情報の取扱手順を厳格に定めることが必要です。個人情報の持ち出しに関しても一段とハードルを上げるなど、罰則を含む厳格な規程を定める必要があります。これは個人情報を厳しく管理している金融業界でも行われていることです。

またやむを得ず個人情報を可搬媒体に記録して持ち出す場合は、媒体にパスワードを設定するだけでなく、データも暗号化するなど、二重三重の防御策が必要です。

②誤操作・誤送信対策

メールの外部発信に際しては、必ず管理者の内容確認や承認を必要とするなどの対策が必要です。また、誤操作を起こさないよう、新入社員や外部委託先の従業員でも理解がしやすいマニュアルや手順書を作成するなども、誤操作・誤送信の対策の一つになり得ます。

業務の外部委託における情報漏洩対策

自治体が業務を外部委託するにあたっては、「プロの業者に委託しているから任せていれば大丈夫」という意識を改めることが必要です。今後は「外部の委託業者は自分たちが目を光らせていなければ何をするかわからない」という基本的な考え方にもとづいて行動することが必要でしょう。

具体的には総務省が各都道府県に示達したように、契約書にセキュリティ遵守に関する文言を盛り込むことや、実際の業務にあたってはセキュリティの遵守事項を具体的に記述したチェックリストを用いて業者の作業を確実にチェックすることが重要です。

受託する業者の側でも自治体から信頼を得られるよう、実際の作業にあたっては作業者の統制をしっかり行うとともに、普段からのセキュリティ教育を定期的に行うことが必要です。

まとめ

公務・自治体の情報漏洩事件について解説してきました。公務・自治体の業務は住民の個人情報を大量に取り扱うだけに、厳格な個人情報の取り扱いが求められます。

今回紹介した事例などの原因や対策についてまとめられた報告書を参考に、セキュリティポリシーの見直しや職員のセキュリティ教育・マニュアル整備を改めて検討してみてはいかがでしょうか。

関連記事:情報漏洩調査の6つの種類、対応ステップ、マニュアル作成まで解説!