piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

弘前市が職員関与と判断したほぼ全ての職員情報流出についてまとめてみた

2020年1月8日、弘前市は市職員の個人情報が流出事案を受け、職員関与と判断するも関係者を特定に至らなかったことから刑事告発したことを発表しました。ここでは関連する情報をまとめます。

情報提供の匿名メールは誰から

f:id:piyokango:20200111084658p:plain
事案概要図

  • 発端は2019年11月18日以降、断続的に合計5回にわたり弘前市へ内部情報流出を示唆するメールが届いていた。
  • メールには「職員の個人情報が記載されたリストが流出しているがいいのか」「職員からの流出だ」「公表せず隠すのか」「報道機関へ発表して説明を求める」といった内容が記述されていた。
  • その後、実際に一部職員の個人情報が記載されたメールがさらに送られてきたためこれを受け市が調査を開始した。
  • 情報提供のメールは弘前市人事課宛に4回、秘書課宛に1回。東奥日報に1回。
  • 弘前市あてに届いた5通は「匿名」「市民」の名前で届いたもの。但し電話番号、メールアドレスは毎回異なっていた。*1
  • 市から掲載された連絡先へ連絡を試みるもやり取りは行えていない。(実在しないものだった)
  • 東奥日報にはウェブ東奥で公開しているメールアドレス宛に届いた。東奥日報側が届いた宛先へ取材を申し込むも12日深夜時点で返信無し。*2
  • 届いたリストはExcelファイルで届いていた。*3

職員情報ほぼ全て流出の事態

  • 事案で影響を受けたとみられるのは職員(2083名)、非常勤職員(664名) 合計2,747名。
  • この2747名は市役所、市長部局、市教育委員会、市立病院、弘前地区消防事務組合などに勤務する2017年度当時の職員情報。*4
  • 該当する情報は約70項目。氏名、氏名カナ、旧姓、性別、生年月日、年度末年齢、住所、給料表月額、経過措置支給額、支給額、最終学歴、組合種別、所属先、職位等が含まれる。
  • 届いたデータには「16年度時点の職員定期健診(市立病院、消防除く)」の項目も存在。

弘前市は職員関与と判断

  • 市の調査で流出したのはファイル共有サーバー(NAS)に保管された2017年度当時に作成されたデータであることが特定。*5
  • ファイル共有サーバーには過去分を含めてデータが保存されている。
  • 外部からデータが保管されたNASへの不正アクセス行為の事実は確認されなかった。
  • 関係者へのヒアリングなど内部調査の結果より、データへアクセス可能だった職員・元職員が関与と結論。*6
  • 現在データにアクセスできるのは市の人事課職員約20名。閲覧にはパスワードが必要。
  • 共済組合加入に関連するデータも含まれていたが、組合側は把握していないデータが多数含まれているとして関連を否定。

内部調査で特定できず刑事告発

  • 弘前市の調査では実際誰が関与したのかまでは特定できなかった。
  • 市の調査では限界があったとして青森県警弘前署へ刑事告発し、同日に受理された。
  • 告発は容疑者不詳で地方公務員法(守秘義務)違反の容疑。*7
市職員逮捕
  • 青森県警が弘前市職員の男を地方公務員法(守秘義務)違反、偽計業務妨害の容疑で逮捕。
  • 男は農業委員会事務局主査(2019年10月から長期休暇)。これまで人事課(流出したデータの格納先)に所属しておらずアクセス権も保有していなかった。*8
  • 男は流出させた事実は認めているものの、業務妨害容疑は否認の立場。*9
  • 19日に略式起訴され、同日に罰金50万円の略式命令。偽計業務妨害については不起訴処分とされた。*10
  • 男が匿名のメールを送った人物とどのような関連があったかは明らかになっていない。
  • 流出した情報は2018年4月に市教委生涯学習課内で行われた異動時に引き継ぎで渡された業務用PCに残っていたものとみられている。
  • 個人情報がゴミ箱に消されずに残ったままとなっていたと報じられている。*11

事案関連のタイムラインは以下の通り。

日時 出来事
2018年4月 男が市教育委員会生涯学習課 図書館・強度文学館運営推進室に異動。
2019年度 男が市農業委員会事務局へ異動。
2019年10月頃 男が長期休暇に入る。
2019年11月18日 匿名の人物から情報流出を示唆するメールが弘前市あてに届く。(1回目)
2019年11月26日 匿名の人物から弘前市へメール(2回目)
2019年12月2日 弘前市へ一部職員の情報が記載されたメールが送られてきた(3回目)ことから市が調査を開始。
2019年12月10日 匿名の人物から弘前市へメール(4回目)
2019年12月12日午後 東奥日報宛にも市職員の情報流出を示唆するメールが届く。
同日 弘前市秘書課宛に匿名の人物からメール(5回目)
東奥日報から弘前市あてに匿名メールの情報を連絡
2019年12月13日 弘前市が個人情報が流出した可能性があると記者会見で発表。
2019年12月16日 弘前市がWebサイト上で個人情報流出事案を公表。
2020年1月8日14時 弘前市が青森県警へ地方公務員法違反の容疑で刑事告発。同日受理。
2020年3月1日 青森県警が弘前市職員の男を地方公務員法違反などの容疑で逮捕。
2020年3月2日 弘前市長が職員逮捕についてコメントを発表。
2020年3月19日 青森区検は男を地方公務員法(守秘義務)違反で略式起訴。(偽計業務妨害は不起訴)
同日 青森簡易裁判所は男に対し、地方公務員法(守秘義務)違反罪で罰金の略式命令。

更新履歴

  • 2020年1月10日 AM 新規作成
  • 2020年1月11日 AM 東奥日報の報道を反映、概要図を修正
  • 2020年3月2日 AM 続報反映
  • 2020年3月22日 PM 続報反映