| 発生時期 | 2022年6月 |
|---|
| 種別 | 紛失・人的ミス(委託先従業員によるUSBメモリ紛失) |
|---|
| 対象組織 | 兵庫県尼崎市(業務委託・再委託先の従業員が当事者) |
|---|
| 被害規模 | 全市民約46万人分の個人情報(氏名・住所・生年月日、税・給付金に関する口座情報など)を保存したUSBメモリ1本 |
|---|
| 経緯 | 給付金業務のためデータをUSBに入れて持ち出した委託先(再委託先)の従業員が、作業後に飲酒し、かばんごとUSBを紛失。数日後に発見され、情報の流出・悪用は確認されなかった |
|---|
1. 事件の概要
2022年6月、兵庫県尼崎市の全市民約46万人分の個人情報を保存したUSBメモリ1本が、紛失する事件が起きました。サイバー攻撃でもハッキングでもなく、原因は「人のミス」——業務委託先(さらにその再委託先)の従業員が、データを入れたUSBをかばんごと紛失したのです。
従業員は、給付金関連の作業のために許可された範囲を超えてデータを持ち出し、作業後に飲食・飲酒したうえで、帰宅途中にかばんを紛失したとされます。幸いUSBは数日後に発見され、パスワードがかけられていたこともあり、情報の流出や悪用は確認されませんでした。しかし「全市民の情報が、一個人の不注意で行方不明になった」という事実は社会に大きな衝撃を与え、記者会見も大きな注目を集めました。
2. 何が問題だったか
幸い実害(流出・悪用)は確認されませんでしたが、「起きてもおかしくなかった」という意味で、いくつもの問題が重なっていました。
- 全市民データを1本のUSBに入れて持ち出した:そもそも46万人分を物理的に持ち運ぶ必要があったのか。
- 許可されたルールを超えた運用:本来の手順・許可範囲を超えてデータが持ち出されていた。
- 再委託の管理不足:委託先のさらに先(再委託先)の従業員が作業しており、誰がデータを扱っているか把握しきれていなかった。
- 持ち出し後の行動管理:重要データを持ったまま飲酒するなど、運用ルールが守られていなかった。
「結果的に無事だった」ことと「対策が正しかった」ことは別です。たまたま助かっただけで、同じ運用を続ければ次は流出につながりかねません。ヒヤリとした事例こそ、本気で改善すべきです。
3. 原因
運用・ルールの原因
- データ持ち出しのルールが甘い/守られていない:「誰が」「どのデータを」「どこまで」持ち出してよいかの管理が不十分だった。
- 必要最小限になっていない:作業に必要な分だけでなく、全市民分という過大なデータを持ち出していた。
- 委託・再委託先の監督不足:外部に任せた業務の、その先まで目が届いていなかった。
人的な原因
- ヒューマンエラー:紛失・置き忘れは、誰にでも起こりうる。「人は必ずミスをする」前提が欠けていた。
- ルール順守意識:持ち出した重要データの管理が、現場で徹底されていなかった。
情報漏洩の原因は、ハッキングよりも「紛失・置き忘れ・誤送信・誤操作」といった人的ミスの方が件数としては多いと言われます。派手な攻撃対策の前に、足元の運用ミスを減らすことが効果的です。
4. 対策と教訓
これは中小企業・士業・自治体など、顧客や住民の情報を扱うすべての組織にそのまま当てはまる教訓です。特別な投資より「運用の見直し」で多くを防げます。
すぐできる対策
- そもそも持ち出さない:データは安全な環境内で作業し、外部に物理的に持ち出さない運用を基本にする。
- 持ち出すなら必要最小限に:全件ではなく、作業に必要な範囲だけを扱う。
- USBメモリの使用ルールを決める:原則禁止、使う場合は暗号化必須・台帳管理・上長承認制にする。
- 持ち出し・返却を記録する:誰がいつ持ち出し・返したかを記録し、管理する。
- 委託・再委託の範囲を契約で縛る:再委託の可否、データの扱い、作業者の管理を明確にする。
- 「人はミスする」前提で仕組みを作る:暗号化やアクセス制限など、ミスしても被害が出にくい備えを用意する。
5. まとめ
尼崎市の事件は、「サイバー攻撃よりも身近な人的ミス」で重大事態が起きうることを示しました。教訓は明快です——重要データは持ち出さない/持ち出すなら最小限・暗号化・記録、そして委託先の先まで管理する。派手な対策より、日々の運用ルールの徹底こそが、最も多くの漏洩を防ぎます。
※本記事は報道・公表資料など一般に公開された情報をもとに、教育・啓発を目的として再構成したものです。経緯・件数は報道時点の内容であり、正確な情報は公式発表をご確認ください。