piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

全市民の個人情報を持ち出した内部不正事案についてまとめてみた

2022年5月26日、岩手県釜石市は市職員2名が共謀し住民基本台帳から全市民の個人情報を違法に取得していたことを公表しました。市は職員2名を懲戒免職とするとともに、岩手県警に刑事告発を行いました。ここでは関連する情報をまとめます。

全市民の個人情報を持ち出し

  • 市民の情報や住民基本台帳のデータを無断でダウンロードするなどの流出行為に関わっていたのは釜石市職員である総務企画部の係長(職員A)と建設部主査(職員B)の2名。
  • 住民基本台帳にデータへのアクセス権を保有しているのは市職員の半分にあたる約300人。職員Aはアクセス権限のない部署に異動した後、アクセス権限を持つ職員Bに対してデータの送信を依頼してた。*1 *2
  • 職員Aは保育料滞納情報など職員B以外の複数の職員からメールを通じて市民の情報を取得しており、他の関与者がいないか市は調査を継続する。*3
  • 職員Aは市の引継資料を使って不正閲覧を行っていた。釜石市では毎年の異動時期(年度末~年度初めの数日間)に業務用PCの共有フォルダ―に保存し後任者が閲覧することを行っており、期間中に限り全職員が閲覧することが可能だった。*4
  • 釜石市は職員2名による次の違反行為があったと認め、地方公務員法第29条により懲戒処分(免職)を行った。また岩手県警釜石署へ住民基本台帳法違反の容疑で刑事告発を行った。
  • 市長は刑事告訴に至った理由について、市民影響が大きい重大事件と認識し、情報流出行為の全容解明と流出した個人情報の伝播を抑止し、流出情報の消去を速やかに行う為と説明。
処分された職員 違反行為 処分該当する法律違反
職員A
(総務企画部係長)
・市民の個人情報が記載された電子データを自宅PCに送信。
・勤務時間中に業務用チャットを繰り返し私的利用、かつ業務上知り得た情報を他部署職員に漏えい。
・職員Bと共謀し職員Bが担当する業務を監査項目から除外。
・地方公務員法第33条(信用失墜行為の禁止)
・地方公務員法第34条(秘密を守る義務)
・地方公務員法第35条(職務に専念する義務)
職員B
(建設部主査)
・市民の個人情報が記載された電子データを自宅PCに送信。
・市民の個人情報が記載された電子データをUSBメモリを使って自宅へ持ち帰り。
・職員Aに対して住民基本台帳に登録された情報をメールで送信し漏えい。
・地方公務員法第33条(信用失墜行為の禁止)
・地方公務員法第34条(秘密を守る義務)
市職員による持ち出し行為の概要
特定の目的無しと回答
  • 持ち出しの目的に対して、職員Aは明確な目的はなく、業務上の参考にするため日常的に情報収集をしたかったと市に対して回答。職員Bは目的を明らかにしておらず、職員Aに協力したとだけ話している。*5
  • 市の聞き取り調査に対して職員2名とも事実関係を認めるも外部への流出に及んでおらず、問題性を認識していない回答を行っていた。*6
匿名投書で不正行為が発覚
  • 今回の事案は釜石市の管理する匿名投書が出来るポスト「市民の声」に2通の手紙の投げ込みがあり、これを受け市が調査を受け発覚したもの。(())
  • 職員Aが業務上知り得た情報の口外や業務時間中に大量のメールのやり取りを行っていると告発する内容だった。*7

2015年から度々市民の情報を持ち出し

釜石市が確認した職員Aまたは職員Bによる市民の情報など職員の自宅及び他部署への持ち出しについて、市が一例として公表したのは次の通り。

発生日 対象人数 持ち出された内容 持ち出し先
2015年2月12日 約19,600名 住所、氏名、生年月日、性別、続柄、世帯番号、収入額等 職員Aの自宅PC
2015年2月13日 約4,700名
(応急仮設住宅居住者を対象)
住所、氏名、生年月日、性別、被災住所等 職員Aの自宅PC
2015年4月22日 約2,600名 住所、氏名、被災住所等 職員Bの自宅PC
↑と同日 約2,000名 住所、氏名、被災住所、電話番号等 職員Bの自宅PC
2017年9月22日 約3,200名
(約600人は特定個人情報を含む)
住所、氏名、生年月日、性別等 職員Aの自宅PC
2017年3月~5月にかけ数回 約16,700名 住所、氏名、電話番号等 職員Bの自宅PC
2018年11月1日 数万名分 住所、氏名、生年月日、性別、世帯番号、続柄等
(住民基本台帳に登録された情報)
職員A宛に職員Bが送付
2020年1月17日 数万名分 住所、氏名、生年月日、性別、世帯番号、続柄等
(住民基本台帳に登録された情報)
職員A宛に職員Bが送付
職員Aの自宅PC
  • 市が確認した持ち出し回数は合計21回にわたる。また公表時点での持ち出し先は職員2名以外には確認されていないとしている。また直接的な被害の確認もしていないと説明。
  • これらの事案とは別に職員Aは業務チャットで業務上知り得た市民の保育料滞納情報、及び施設使用料の滞納情報等も他部署職員へ伝えていた。
  • 特定個人情報約600名分が含まれていたことから、該当者に対して文書で通知を行い、マイナンバー変更の意向を確認する。*8
数年分の住基データ一式持ち出し
  • 職員Bは次の住民基本台帳のデータ6件を私物のUSBメモリに保存し自宅PCにデータとして使用していた。
    • 2017年3月31日現在の住民基本台帳データ
    • 2019年3月31日現在の住民基本台帳データ
    • 2020年3月31日現在の住民基本台帳データ
    • 2021年1月31日現在の住民基本台帳データ
    • 2021年3月31日現在の住民基本台帳データ
    • 2022年1月31日現在の住民基本台帳データ

関連タイムライン

日時 出来事
2015年~2020年 職員Aが自宅PCに市民の情報を持ち出し。
2021年9月 釜石市へ職員Aによる行為について匿名の手紙が届く。
2022年3月10日 釜石市が職員2名に対して自宅待機命令。
2022年5月11日 釜石市が職員2名を岩手県警へ住民基本台帳法違反の容疑で刑事告訴。
2022年5月20日 釜石市が送信されたデータの全削除を確認。
2022年5月26日 釜石市が職員2名を懲戒免職処分。
同日 釜石市が臨時記者会見。職員2名が外部へ全市民の情報を違法に取得していたとして謝罪。

更新履歴

  • 2022年5月27日 PM 新規作成
  • 2022年6月5日 AM 続報反映(職員Aによる引継資料閲覧)