首都圏自治体(元)職員による約3万件「住民個人情報」持出の原因と再発防止策及び責任
Nkoshin21lg1.(元)職員・市議による住民個人情報等の持ち出し事件発生
地方公共団体における住民や事業所等の情報の管理については、堺市の68万人有権者データ持出事件などが起こっており、そのコンプライアンス体制に危惧を住民などが抱いているのは周知の事実であろう。
京都の地方公共団体においても個人情報漏えいリスクに関する研修を行っているが、中堅幹部であっても「個人情報保護法」が全く適用がないと言い切るには驚く。
以下の事例も、元職員の個人的な問題に寄った解決でなく、この事件後に、「なぜにこのような漏えい事件が発生したか」を一人一人の職員が議論をしっかりしたかどうかが最大の重要点である。研修は考えるものであったろうか。
2.平塚市の公表文書(2020年2月17日付平塚市HP一部引用)
(1)(元)職員による個人情報等の持ち出しについて
本市教育委員会社会教育部スポーツ課の職員が、課の管理する個人情報等を含む電子ファイルを持ち出していたことが判明しました。
このような事態が生じたことにつきまして、関係者の皆様に多大な御迷惑をお掛けし、また、市政に対する市民の皆様の信頼を損ねたことを深くお詫びをするとともに、信頼の回復及び再発防止に努めてまいります。
(2)漏えい事案の概要
平成31年4月17日に市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話があり、電子データ記録を調査した結果、在職中の平成30年11月29日と退職日翌日の平成30年12月22日に、個人情報を含むファイルを持ち出された恐れがあることが分かりました。
元職員へ聞き取り調査を行ったところ、平成30年11月29日については持ち出しを否定しましたが、平成30年12月22日については持ち出したことを認めました。
本市としては、元職員は平成30年11月29日の持ち出しについては否定をしていますが、持ち出そうとしてコピーしたファイルに個人情報が含まれていた市民2名(本市職員の家族)に選挙はがきが届いていたことが確認できたため、個人情報を含むファイルを持ち出し、利用されたと判断しています。
なお、現在のところ、2次被害等の事実は確認できておりません。
(3)漏えい事件への対応の経過
平成31年4月17日
市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話がある。
令和元年8月7日
総務省(自治行政局 地域情報政策室)及び神奈川県(総務局 ICT推進部 情報システム課)にインシデント報告書を提出
8月8日
謝罪会見を実施
8月29日
平塚市議会で、元職員に対する辞職勧告決議を可決
9月4日
広報ひらつか9月第1金曜日号に、市長のおわび文を掲載
9月5日
担当課のイベントの申込者250名に謝罪文を送付
9月30日
関係団体及び平塚市公共施設予約システム登録団体の代表者21,928名に謝罪文を送付
10月1日
市長、副市長及び教育長の給与月額を削減するため「平塚市特別職員の給与に関する条例」を一部改正。
11月5日
元職員を、平塚市個人情報保護条例違反で告発
令和2年2月17日
元職員に対し損害賠償請求に係る訴えを提起するため、令和2年3月市議会定例会に議案を提出
対象ファイル
(1)平成30年11月29日(在職中)
ファイル数 1,019件
個人情報のデータ件数 31,429件(個人、団体等の情報を含む延べ件数)
(2)平成30年12月22日(退職日翌日)
ファイル数 16件
個人情報のデータ件数 248件(延べ件数)
(3)個人情報の内容
氏名、住所、電話番号、メールアドレス、性別、生年月日、口座情報等
(ファイルにより含まれていた個人情報は異なる)
原因
元職員が通常使用していた庁内ネットワークのパソコンは、USBメモリの接続制限機能が装備されていたが、公共施設予約システム専用パソコンは接続制限機能を装備しておらず、このパソコンを経由してファイルを別のUSBメモリに移すことが可能であったため。
退職日翌日の平成30年12月22日に市庁舎に入館できたことについては、元職員から、「退職日翌日に荷物の整理がしたい」との申し出があり、執務室への入室を許可していたため。さらに、退職日翌日に庁内ネットワークのパソコンにアクセスできたことについては、アクセスに必要なアカウントの削除処理が行われていなかったため。
(4)再発防止策
情報セキュリティインシデント再発防止策
職員による不正行為に対するセキュリティ対策として、「管理・監督者によるシステムや媒体のチェックの強化」と「利用履歴の追跡力の向上による不正利用抑止の強化」を行います。
(1)技術的対策
・パソコン管理の強化
今回の事案は、USBメモリの接続制限機能が装備されていないパソコンを経由して行われたことから、市が所有・管理している接続制限のないパソコンに管理ツールを導入し、利用制限と併せて利用履歴(ログ)のチェックを行うことで、パソコンの利用に関する管理強化を行います。
・USBメモリのセキュリティ対策強化
今回の事案は、セキュリティ対策のされていないUSBメモリを利用して行われたことから、これらのUSBメモリは原則使用禁止としてセキュリティUSBメモリに切り替え、利用履歴(ログ)のチェックができるようにし、不正利用に対する抑止の強化を図ります。
(2)人的対策
・USBメモリの管理の徹底
USBメモリなどの電磁的記録媒体は、管理・監督者が直接管理をし、それらの利用履歴をチェックすることで、管理を徹底します。
・確実なアカウント削除の実施
庁内の連絡体制を強化し、退職時のアカウントの削除を適切に実施します。
・職員研修の実施とチェック体制の強化
職員研修を実施して、情報セキュリティポリシーの遵守及び情報の取り扱いなど情報モラルに関して周知徹底を図ります。また、情報セキュリティ自己点検や監査内容の見直しを行い、チェック体制の強化を図ります。
職員研修等
現在までに実施した職員研修等
・市長から全職員に、「より一層の服務規律の確保、法令の遵守及び個人情報等の情報の適正な取扱いと管理の徹底」を指示。(令和元年8月9日)
・各課長及び各課の情報化リーダーを対象に、今回の事案に対する再発防止策説明会を実施。(令和元年9月3日、10月8日)
・各課長を対象に、「個人情報の適正な管理」をテーマに個人情報保護制度研修会を実施。(令和元年10月11日)
・各課長及び各課の情報化リーダーを対象に、情報セキュリティ研修を実施。(令和元年11月28日)
・各課職員を対象に、「電子データによる情報漏洩」をテーマに危機管理研修会を実施。(令和2年1月16日)
■特別職の給与の削減
今回の事案を組織として防止することができなかった管理体制に対する責任や、市民、社会に与えた影響等を総合的に考慮して、市長、副市長及び教育長の給与を削減いたします。
削減期間
令和元年10月1日から令和元年12月31日まで
削減率(金額)
市長10%(605,379円)
副市長7%(352,342円)
教育長7%(308,568円)
(5)刑事告発
今回の元職員の行為は、平塚市個人情報保護条例第63条に該当すると考え、令和元年11月5日に神奈川県平塚警察署司法警察員に告発しました。
1 告発の概要
被告発人 平塚市議会議員 渡部 亮
告発人 平塚市長 落合 克宏
告発先 平塚警察署
2 告発の理由
被告発人が、選挙用運動葉書を作成・発送するため、職務上知り得た個人情報を盗用したため。
3 違反条項
平塚市個人情報保護条例第63条
…下記の平塚市公表内容を参照………………………………………………………………………………………………………………
https://www.city.hiratsuka.kanagawa.jp/joho/page06_00025.html
3.公表文書に欠けている平塚市の責任と対策
(1)責任
特別職が、条例改正で減給をすることは構わないが、この職員が情報を易々と情報を持ち出すことができたのは、退職日の翌日に自由に庁内で活動できたことがあり、それを許可した上司などはどのような処分を受けたのか。地方公務員法29条のいかなる懲戒処分なのか。
また、なぜに退職してもアカウントの削除をしていないのか。それは誰の職務の怠りか。地方公務員法29条の2号の違反ではないのか。なぜ処分をしないのか。処分をしないからまた起こるのだ。
(2)対策
情報セキュリティ等の再発防止研修には、コンプライアンスの観点は十分に入っていたのか。元職員のコンプライアンス意識はどうであったのか。現在の他の職員のコンプライアンス意識に比べて格段に劣っていたのか。公務員倫理はどうなのか。中川総合法務オフィスのような厳しい指摘をする講師は敬遠しているのではないか。また起こる。
※なお、刑事事件は嫌疑不十分で不起訴処分になったが、民事訴訟で200万円の賠償責任が和解という形で確定した。行政処分はなぜかなされていない。つまり、退職金は返還請求していないではないか。解決に不足感を感じるのは私だけか。
