尼崎市USB事案、紛失者は協力会社の委託先社員であると判明|サイバーセキュリティ.com

尼崎市USB事案、紛失者は協力会社の委託先社員であると判明



画像:BIPROGY 株式会社より引用

USBメモリを紛失し尼崎市全市民情報に流出懸念が生じた問題について、受託業者のBIPROGY 株式会社は2022年6月26日までに詳細な情報を公表しました。

事案は同社が尼崎市から受託した臨時特別給付金業務の遂行途上で発生したものです。受託事業社であるBIPROGY 社はこれまで「同社の協力会社(株式会社アイフロント)に所属する社員」が、吹田市のコールセンターのデータ更新業務を終えたあと、帰宅途上で酒に酔いカバンごとUSBメモリ紛失したと説明していました。

ところが、同社は2022年6月26日の続報にて、紛失にかかわった社員が実はアイフロント社の社員ではなく、「アイフロント社が委託していた企業の社員」であると訂正しています。訂正の理由について、同社は「協力会社(アイフロント社)から聞き取る中で認識を誤った」と説明しています。

尼崎市「紛失発覚後に初めて知った」

尼崎市はBIPROGY社がアイフロント社に事業を委託し、アイフロント社がさらに別の会社に事業を委託していたことについて、紛失発覚まで把握していませんでした。

尼崎市によると、事業委託に際し交わした契約書には「業務の一部を委託する際は市の許可を取る」と記載されていました。契約上問題が生じる可能性が生じています。

なお、BIPROGY社はアイフロント社が委託していた事業者名について公表を控えるとしています。同社によると対象企業の規模から個人の特定に繋がる可能性があるとのこと。「今回のUSBメモリ紛失の責任は弊社(BIPROGY社)にあります」と述べ、謝罪しています。

承認プロセスや運搬方法など問題多数

一方、BIPROGY社は紛失したUSBメモリについて、2022年6月24日時点で紛失に関わった社員自身が発見したと発表しています。情報によると当人が警察の協力のもとスマートフォンのGPS機能を使い発見に至ったとのこと。

見つかったUSBメモリからは、パスワードの変更等第三者が使用した形跡は確認されていませんが、BIPROGY社は当人は発見された場所にカバンを置いた記憶がなく、紛失後に流出も想定されると説明。同社は今後もダークウェブなどを確認し、情報流出に備えるとしています。

承認プロセスや運搬方法など問題多数

BIPROGY社は臨時特別給付金業務における情報セキュリティ上の問題について、複数の原因があったと話しています。

1つはデータ持ち出し・運搬上の承認プロセスに関する問題で、同社はデータ更新作業について尼崎市に説明していたものの、具体的なデータ運搬方法について触れておらず、情報共有が不十分であったとのこと。また、アイフロント社の協力会社の社員1人がUSBメモリで運搬するという方法自体にセキュリティ性が確保されておらず、問題があったと省みています。

また、同社はUSBメモリのデータ管理面においても原因があったとしています。USBメモリは吹田市のコールセンターの情報更新のために使用されたものですが、社員は業務完了後もUSBメモリのデータを削除せず、これを指示する手順書や指示確認もなかったとのこと。さらにUSBメモリの保管についても指示や確認はなく、結果として業務終了後に飲食し、紛失するという結末に至ったと話しています。

データ管理・運用ルールの修正など再発防止策も発表

BIPROGY社は紛失を問題を受け、複数の再発防止および改善案を公表しています。

これによると、同社は今後、現状の管理体制に加えて顧客機密情報管理者を配置するなど体制を強化するとともに、尼崎市が求めるセキュリティポリシーに適合するよう、運用手順を整備すると発表。同社および関係する会社にも周知徹底を行うとしています。

また、データの持ち出しや運搬ルールについても修正が加わりました。同社によると、データの持ち出しや運搬は原則禁止となり、必要な場合においても実施前に尼崎市に書面で承認を得るプロセスに変更すると決定。運搬方法も複数名による持ち出しまたは運用会社等が提供するセキュリティ便の利用を徹底するとのこと。

さらに同社は、今後はプロジェクトメンバーおよび関係会社に対する教育、指導の再徹底も決定。教育面からのアプローチも強化し、再発を防止するとしています。

参照住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失について/BIPROGY 株式会社

参照住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失に関する報告の修正について/BIPROGY 株式会社


SNSでもご購読できます。