尼崎市の全市民の個人情報を含むUSBの紛失事件から学ぶ:この教訓を活かしてリテラシーを高めたい。

  • 2022年6月24日
  • 2022年6月24日
  • ブログ
  • 382view

はじめに

2022年6月23日に尼崎市が緊急会見した時の動画を下に示す。尼崎市の全市民46万人の住基情報を含む個人情報が保存されたUSBメモリーが紛失したという事件に対する謝罪会見だ。しかし、そこで露呈したのは、尼崎市の危機管理の甘さとセキュリティへの認識の欠如だ。パスワードは解読される可能性はあるのかという記者からの質問に対して、なんとパスワードの桁数や文字種、更新周期まで明かしてしまった。ランダムな13桁以上のパスワードであれば解読は困難だけど、ここまでヒントをもらうと「amagasaki2020」とかではないかとネットで炎上している。

事実関係

尼崎市やBIPROGY株式会社の発表に基づく報道を概ね次のようなものだ。

尼崎市の住民税非課税所得等に対する臨時特別給付金事務をBIPROGY株式会社が受託している。BIPROGY関西支社の関係社員が2022年6月21日に吹田市内のコールセンターでのデータ移管のために、尼崎市の行政情報センターからUSBメモリーを運搬した。関係社員は、データ移管作業完了後、飲食店に立ち寄った後に帰宅した。その際にUSBメモリーを入れたかばんの紛失が判明した。6月22日未明にも、紛失した可能性がある場所を検索するも発見できなかったため、警察署に遺失物届を提出した。同日午後3時45分頃にBIPROGYから尼崎市に電話で連絡した。

USBメモリーに保存されている情報

・尼崎市民全員の住民基本台帳の情報(46万517人分)
・住民税に係る税情報(36万573件)
・非課税世帯等臨時特別給付金の対象世帯情報(21年度分7万4767世帯分、22年度分7949世帯分)
・生活保護受給世帯の口座情報(1万6765件)
・児童手当受給世帯の口座情報(6万9261件)
・USBメモリーにはパスワード付与・暗号処理が施されていた。
・現時点ではこれらの情報の外部漏洩を確認していない。
(出典:日経XTECH

尼崎市の見解

尼崎市によると、同市の事業所外でデータ処理することについてBIPROGYは同市から許可を得ていた。ただ、関係社員個人がUSBメモリーなどの媒体で個人情報データを運搬するという具体的手法について、BIPROGYは同市から許可を得ておらず、同市も持ち出す際に許可を得るべき旨をBIPROGYに対して徹底していなかった。また運搬時に専門のセキュリティー便などを使わず関係社員が個人で持ち出し、データ移管作業の完了後にUSBメモリー内のデータを消去するといった対応もしていなかった。BIPROGYは日経クロステックの取材に対し「事実関係を調査し、今後の再発防止に努めます」(広報)とコメントしている。しかし、メリカリには、真偽は別として、尼崎のUSBとして、45万2千円で一時期売りに出されていたが、これは偽物と判明している。悪質なイタズラだ。これからの反面教師としてセキュリティの教材に使われることだろう。

事実関係の深掘り

BIPROGYとは

BIPROGY(ビプロジー)株式会社は、旧日本ユニシスであり、2022年4月に社名変更した。ITアウトソースサービスなどを提供するユニアデックスの親会社となる。なお、BIPROGYとは光が屈折・反射した時に見える七色(青藍紫赤橙緑黄)の頭文字の造語である。会社のロゴは日本ユニシスの赤色から虹色かと思ったら、地味な青色だ。なぜビプロジーの意味をもっと訴求しないのか。なんだかポリシーを感じない社名とロゴだ。

(出典:nextalk

飲酒して路上で泥酔

尼崎市から業務委託を受けていた大阪市のITサービス会社の説明によると、USBメモリーを紛失したのは関係先の企業の40代の男性社員で、自分のかばんの中に入れて持ち運んだ。データの移管作業終了後に委託元の会社(BIPROGY)の社員3人と吹田市内の居酒屋で午後7時半からおよそ3時間飲食した。帰宅する途中に路上で寝てしまった。目覚めたのは翌日の午前2時から3時ごろ。かばんがないことに気づいた男性は、付近を探したものの見つからなかったため、近くの交番に遺失物届を出した。

尼崎市への連絡は12時間後

かばんがないことに気づいてから、尼崎市に連絡するまでに12時間以上かかっている。この間の経緯は不明。尼崎市の稲村和美市長は会見で次のように受け答えしているけど、当事者意識を感じられないのは自分だけだろうか。

2020年は2515万人分の個人情報が流出

個人情報の流出事故は、毎年100件前後発生していいる。社数よりも件数が多いのは、1社で複数の事故を発生しているためか。近年ではウイルス感染や不正アクセスに起因したものが増えているが、今回のようなUSBメモリーの紛失も一定数はあるのだろう。

(出典:IT Media

想定される問題点

問題点1:

BIPROGY株式会社(旧日本ユニシス)は尼崎市との間で個人情報を含む具体的な方法やフローを合意していない。運搬時には専門のセキュリティ便を使うなどの方策も講じていなかった。

(出典:ソクハイ

問題点2:

その結果、いつ、誰がどのように個人情報の持ち出しや消去をしているかが管理されていない。丸投げ。

(出典:読売新聞オンライン

問題点3:

尼崎市は全市民の個人情報を含むUSBメモリー紛失に関して緊急記者会見を実施したが、そこでパスワードの桁数や英数字が混在していることを自ら説明してしまった。これは行政側のリテラシーの低さを露呈するものだ。

(出典:together)

問題点4:

データ移管処理の後にデータを消去していない。処理フローも不明。担当者任せとなっていた。今時、データ移行をUSBメモリーで行うことにも違和感を感じる。

(出典:USBメモリー

問題点5:

なぜ個人情報を含むUSBメモリーを持参した状態で、酔い潰れるまで飲酒したのか。一緒に飲酒した委託元の会社(BIPROGY)の社員は問題があると感じなかったのだろうか。

(出典:Yahoo News

問題点6:

業務用携帯やUSBメモリーなどをバッグに保管する場合のルールやリュック型のバッグとするなどのルール不明。自分も鍵には、AppleのAirTagをセットしている。一度、鍵がないと慌てそうになった時に、AirTagをつけていたことを思い出して、探すと自宅の中にあった。よく考えると練習用のゴルフバックの中にあるはずと気がついて無事見つかった。今回も大事なUSBメモリーにはAirTagのようなものをつけておけば保険にはなったかもしれない。

(出典:デジクル

問題点7:

紛失事件を受けて尼崎市長が「このような初歩的ミスは許されない」と説明した。業者を指導する立場にある行政側の責任を感じない発言であり、当事者意識が欠落しているという印象を受けた。
(出典:朝日新聞

問題点8:

6月23日に開催された尼崎市による緊急会見において、記者から「パスワードは解読される可能性はあるのか?」という質問に対して、市の職員は、「パスワードは13桁」、「英数字を混在させている」、「一年に一度は更新している」と説明した。ブルートフォース攻撃へのリスクを高めた。

(出典:ALSOK

問題点9:

BIPROGY株式会社は、2022年6月23日に再発防止に努めると謝罪した。しかし、同社は2006年 にも個人情報295件等を保存したUSBメモリーを同21日に紛失していて同26日に再発防止に努めるとしている。体質の問題も懸念される。

(出典:PR Times

改善策

どのような対策が必要かつ有効なのだろう。

処理フローの明確化と合意

今回の事故では、尼崎市と業者の間のデータの取り扱いに関するルールが明文化されていたのかどうか。報道をみる限り不十分だったと思える。特に、データの受け渡し時の処理フローや、データを削除するタイミング、ダブルチェックの方法などは明記すべきだろう。また、その場合に留意すべきは粒度だ。業務全体の粒度を揃えることが重要だ。問題となっている特定の処理だけ細かく定義するのではなく、定義するなら処理フロー全般の粒度を揃えるべきだ。

(出典:業務フローの可視化

紛失防止の対策

セキュリティ便を使うなど、USBメモリーを持ち歩かないようなフローにすることが一番だろう。どうしてもやむ得ない場合には、ジッパーのついたバックにしまう。バックはリュック型などにして肌身から離さない。公共機関の電車などを利用する場合に棚網に乗せない。USBメモリーや業務用携帯、パソコンを持参している時には飲酒を控える。少なくとも泥酔するまで飲酒するのは禁止とする。もしくは紛失しても位置情報から探索できるようにタグをつける。

(出典:楽天

セキュリティのリテラシーを高める

今回はUSBメモリーの紛失事故だったが、尼崎市のセキュリティに関するリテラシーの低さが露呈した。悪意を持って犯罪する人なら尼崎市をターゲットにしてランサムウェアを仕掛けるかもしれない。最近は二重ランサムと言って、金を払えば暗号を解くが、金を払わなければ個人情報を公開すると二重に脅す悪質なタイプがあると、脆弱性の講義の後に投稿した。業者を指導する前に、業者を指導すべき立場の行政側のリテラシーを高める教育が急務だと思う。

(出典:読売新聞オンライン

まとめ

6月22日の未明に発生した尼崎市の全市民の個人情報が保存されたUSBメモリーが担当者の不注意から紛失するという事故が発生した。いまだに見付かれないのが不思議だ。最悪の事態は、ブラックマーケットに流れることだ。これがゴールではなく、悲劇のスタートだとすると恐ろしい。また、尼崎市など市区町村のリテラシーの低さからこれらがランサムウェアのターゲットとして狙われるかもしれない。もし、何億円という身代金を要求された場合に市区町村は支払うのだろうか。それとも個人情報の流出を容認するのだろうか。どちらも最悪だ。今回の事件を受けて、単にUSBの紛失事故にどのように対応するかではなく、ランサムウェアなどのサイバー攻撃に対するセキュリティをいかに高めるかを議論するためのトリガにすべきだし、それしか今回の事故の教訓をいかす方法はないのだと思う。

以上

最後まで読んでいただきありがとうございました。

ITプロ人材のマッチングプラットフォームなら Bizlink をクリックしてみてください。
最新情報をチェックしよう!