青森県弘前市で、全職員の個人情報が流出。持ち出しか不正アクセスか。

令和元年最後の12月に、また個人情報流出事故が起きてしまいました。
大きく報道はされていませんが、職員や非正規雇用の社員に至るまで、個人情報がすべて流出してしまったのです。しかも原因特定がなされておらず、何をトリガーとして流出してしまったのかもわかっていません。

しかし、氏名や学歴だけでなく、住所や給与、評価などもすべて外部に出てしまったのですから大変な事態です。原因は明らかにされていないものの、今の段階で何ができるか、そして何をすべきだったかを確認していきます。

弊社UPFでは、Pマーク（プライバシーマーク）の取得支援を行っています。Pマークを取ることは社会的な承認であり、技術力やビジネス力の証明でもあります。また、Pマーク取得はお客様に安心を与えるものでもありますので、個人情報を預かるにふさわしい会社だと証明できます。コンサルティングのご依頼はぜひどうぞ。

|経緯といきさつ

ことの経緯は、2年前の時点での個人情報が、流出したという指摘が役所に入ったことです。匿名のメールが弘前市に寄せられ、それだけではなく、実際の個人情報が書かれたメールがさらに送られてきたので、弘前市も調査に乗り出したのです。

調査の結果、流出しているらしいということがわかりました。らしい、というのは、全貌がまだ解明されていないからです。データがどのように流出したのか、誰かが持ち出したのかあるいは不正アクセスがあったのか。解明はこれからです。

事実として、外部に個人情報が流出し、手に入れた人からその一部が証拠として弘前市役所にメールで送られてきたということ。合計2,747人の個人情報がすべて含まれているということが確からしいということです。

職員の個人情報が書かれたメールを受け取り、弘前市は本格的に調査に乗り出しました。

|弘前市の個人情報が流出した考えられる経緯

考えられる経緯として、内部からの持ち出しおよび不正アクセスが考えられます。職員データは内部情報として、役所の中のネットワークに保存されていますから、そこがインターネットと接続してあるパソコンにつながった、という事も考えられます。いわゆる住民基本台帳ネットワークと同じ種類のリスクで、弘前市の内部ネットワークと、インターネットが同じパソコン上に存在するとき、うっかりミスやハッキングによって、内部のデータが漏洩してしまう状態は起こり得る事態です。

青森県弘前市は、公式データによりますと、職員数が1,421名。

参考：青森県弘前市 

漏洩したデータ数と比べて1,300人ほどの違いがあります。おそらく、過去の非正規職員のデータや、退職者も含まれているのではないかと推測されます。小さな役所なので、データの取り扱いが、データベース上の退職フラグをまとめて抽出したのかもしれません。であるならば、ハッキングによるものというよりは、内部からの持ち出しが考えられます。

通常、個人情報はデータベースに格納されており、そのままの生データではUSBに入れるのは極めて困難だからです。つまり、悪意を持った誰かが、人事課のコンピュータにUSBを差し込み、データベースアクセスツールで、個人情報を持ち出した可能性は極めて高くなります。

|なぜ、役所の個人情報が狙われたのか？

これが弘前市民の納税情報だったら大変な事態でした。しかし、不幸中の幸いで、漏れたのは役所職員のデータでした。ただ、市役所職員だって市民ですから、個人情報が漏れたら大変です。名簿屋に個人情報が流れたら、勧誘や詐欺のターゲットになりかねませんし、実際俸給などのデータが流れていることから、持ち出した人に、そうした名簿情報としての利用をしたいという側面は強かったものと思われます。

給与を含む名簿情報が外部に流れたら、どこに住んでいる誰がいくらの俸給をもらっているかが他者にわかってしまいます。これは極めて危険な情報漏えいです。役所の人間というのは、社会的地位と言いますか、信頼度が高いので、そうした人の氏名・住所・俸給や、成績の情報までみえてしまっては、悪用される懸念が高まります。

しかも、弘前市の2018年の平均年収は276万2,755円。全国平均からみると、地方なのであまり高くありません。こうした地方在住者にとっては、役所の俸給というのはとても高く思われるものですし、実際高いのです。

つまり、高所得者の個人情報として、流出したデータが使われる懸念が高いのです。青森県の平均年収が300万に満たないことを考えると、高所得帯の役所の職員の給与は、詐欺集団や押し売り系の営業マンにとっては、喉から手が出るほど欲しい情報ではないでしょうか。

|限られた人しかアクセスできない状態ではあった

流出したデータは人事情報になりますので、人事課のサーバーに置かれていました。人事課の職員20名だけがそこにアクセスできた状態だったのです。よって、持ち出しは内部の犯行の可能性も十分あります。

これまでも、インターネットにつながったパソコンを社内の重要なデータ共有に使ってしまうなどの悪例がありましたので、令和になった今でもパソコン共有をしているとは考えづらいです。よって、不正アクセスの可能性はかなり低いと考えられます。それに加えて、人事データや給与データというものは、ハッカー集団にはあまり価値の高いものではないと考えられます。

なぜなら、そうしたハッキングをするハッカーは、国内のハッカーではなく海外のハッカーの可能性が高いからです。つまり、海外のハッカーにとって、高いコストとリスクを取ってまで、青森県弘前市の市役所の人事データを不正に取得するリターンがそれほどないのです。

これは決して、青森県弘前市が地方都市だからというわけではなく、流出した個人情報の人数が3,000人に満たないのを鑑みてのものです。つまり、不正に持ち出された経路は、人の手によるものという可能性を疑うのが自然かもしれません。

|考えられる今後の事態

今後、流出したデータを皮切りに何が起こると考えられるでしょうか。まず、職員の氏名・住所・学歴・給与などが漏洩してしまったことで、不穏な電話がかかってくる可能性が一番高いです。いわゆる「オレオレ詐欺」です。もう名前と給与までわかってしまっていますので、相手は極めて自然に電話をかけられるのではないでしょうか。

東京のど真ん中と違って、代々その土地に住んでいる人も多いでしょうから、引っ越しするのは大変だと考えられます。そうなると、よりオレオレ詐欺は仕掛けやすくなってしまいます。知らない人がほとんどいないような街でしたら、オレオレ詐欺はかかりづらいかもしれませんが、それでも、セールスの電話がかかってくることもあり得るわけです。

昔は都会だけだったオレオレ詐欺や強引で詐欺まがいのセールスも、警戒された結果、地方にその活動範囲を移しているという報道もあります。いずれにせよ、重大な事態です。

|このような流出事故を防ぐためには？

では、どうやって事故を防げばよいのでしょうか。今回の青森県弘前市の個人情報流出から学べることは2点です。

●個人情報の入ったパソコンをインターネットに接続しない
●職場内にUSBメモリ等を持ち込ませない体制づくり

１つめは、ハッキング対策や、間違ってデータが表示されたなどの事故を防ぐためのものです。そして２つめは、そもそも持ち込ませないことが重要です。USBメモリのコネクタを、業者に頼んで外しておくとか、そういった対処が必要です。

役場のパソコンは電気屋さんで買ってきたものではなく、システムと一緒に業者が納入していますから、その際に、USBメモリのスロットを外してもらうのもいいかもしれません。そうしないと、いつまでも信用を落とす事故が起き続けるだけです。

今回は、漏れたデータの性質から考えて、内部犯行の可能性が高いと考えられます。もうUSBメモリ運用はやめて、職員をもっとコンピュータに詳しくなってもらい、そしてリテラシーを高めた結果、このような事故が起きないようにするべきではないでしょうか。

|最後に

全職員の個人情報が流出したのであれば、それは職員に身の危険すら及びかねない大変な出来事です。そして、役所の信用も何もあったものではありません。これが会社だったら、みんな揃って退職してもおかしくないのです。そうなると大損害ですので、役所だからといって、データをルーズに扱っていいとは限らないのです。もちろん、慎重に管理した結果のことではあると思いますが、結果重大な事故につながっています。

こうしたセキュリティ事故を防ぐためには、Pマーク認証を取ってプライバシーについての知見を高めるのが一番です。弊社UPFでは、Pマーク取得支援のコンサルを行っています。この機会に、ぜひお問い合わせください。

■こちらの記事もおすすめです

>>>【個人情報をUSBメモリに入れるのはリスク！歯科医師会でメモリ紛失】