piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

弘前市が職員関与と判断したほぼ全ての職員情報流出についてまとめてみた

2020年1月8日、弘前市は市職員の個人情報が流出事案を受け、職員関与と判断するも関係者を特定に至らなかったことから刑事告発したことを発表しました。ここでは関連する情報をまとめます。

情報提供の匿名メールは誰から

f:id:piyokango:20200111084658p:plain
事案概要図

  • 発端は2019年11月18日以降、断続的に合計5回にわたり弘前市へ内部情報流出を示唆するメールが届いていた。
  • メールには「職員の個人情報が記載されたリストが流出しているがいいのか」「職員からの流出だ」「公表せず隠すのか」「報道機関へ発表して説明を求める」といった内容が記述されていた。
  • その後、実際に一部職員の個人情報が記載されたメールがさらに送られてきたためこれを受け市が調査を開始した。
  • 情報提供のメールは弘前市人事課宛に4回、秘書課宛に1回。東奥日報に1回。
  • 弘前市あてに届いた5通は「匿名」「市民」の名前で届いたもの。但し電話番号、メールアドレスは毎回異なっていた。*1
  • 市から掲載された連絡先へ連絡を試みるもやり取りは行えていない。(実在しないものだった)
  • 東奥日報にはウェブ東奥で公開しているメールアドレス宛に届いた。東奥日報側が届いた宛先へ取材を申し込むも12日深夜時点で返信無し。*2
  • 届いたリストはExcelファイルで届いていた。*3

職員情報ほぼ全て流出の事態

  • 事案で影響を受けたとみられるのは職員(2083名)、非常勤職員(664名) 合計2,747名。
  • この2747名は市役所、市長部局、市教育委員会、市立病院、弘前地区消防事務組合などに勤務する2017年度当時の職員情報。*4
  • 該当する情報は約70項目。氏名、氏名カナ、旧姓、性別、生年月日、年度末年齢、住所、給料表月額、経過措置支給額、支給額、最終学歴、組合種別、所属先、職位等が含まれる。
  • 届いたデータには「16年度時点の職員定期健診(市立病院、消防除く)」の項目も存在。

弘前市は職員関与と判断

  • 市の調査で流出したのはファイル共有サーバー(NAS)に保管された2017年度当時に作成されたデータであることが特定。*5
  • ファイル共有サーバーには過去分を含めてデータが保存されている。
  • 外部からデータが保管されたNASへの不正アクセス行為の事実は確認されなかった。
  • 関係者へのヒアリングなど内部調査の結果より、データへアクセス可能だった職員・元職員が関与と結論。*6
  • 現在データにアクセスできるのは市の人事課職員約20名。閲覧にはパスワードが必要。
  • 共済組合加入に関連するデータも含まれていたが、組合側は把握していないデータが多数含まれているとして関連を否定。

内部調査で特定できず刑事告発

  • 弘前市の調査では実際誰が関与したのかまでは特定できなかった。
  • 市の調査では限界があったとして青森県警弘前署へ刑事告発し、同日に受理された。
  • 告発は容疑者不詳で地方公務員法(守秘義務)違反の容疑。*7

事案関連のタイムラインは以下の通り。

日時 出来事
2019年11月18日 匿名の人物から情報流出を示唆するメールが弘前市あてに届く。(1回目)
2019年11月26日 匿名の人物から弘前市へメール(2回目)
2019年12月2日 弘前市へ一部職員の情報が記載されたメールが送られてきた(3回目)ことから市が調査を開始。
2019年12月10日 匿名の人物から弘前市へメール(4回目)
2019年12月12日午後 東奥日報宛にも市職員の情報流出を示唆するメールが届く。
同日 弘前市秘書課宛に匿名の人物からメール(5回目)
東奥日報から弘前市あてに匿名メールの情報を連絡
2019年12月13日 弘前市が個人情報が流出した可能性があると記者会見で発表。
2019年12月16日 弘前市がWebサイト上で個人情報流出事案を公表。
2020年1月8日14時 弘前市が青森県警へ地方公務員法違反の容疑で刑事告発。同日受理。

更新履歴

  • 2020年1月10日 AM 新規作成
  • 2020年1月11日 AM 東奥日報の報道を反映、概要図を修正