piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた

2022年6月23日、尼崎市は業務委託先企業の関係社員が個人情報を含むUSBメモリを紛失したことを公表しました。紛失したUSBメモリには同市全市民の住民基本台帳の情報等が含まれていました。ここでは関連する情報をまとめます。

データ更新作業で持ち出したUSBメモリ紛失

  • 紛失したのは尼崎市から業務委託を受けたBIPROGYがデータ移管作業のためとして持ち出していたUSBメモリ2つ(1つはバックアップ用)。
  • BIPROGYは尼崎市から住民税非課税世帯等に対する臨時給付金支給事務を受託。給付金に関して自身が対象になるのか等の市民からの問合せにBIPROGYのコールセンターで応じるため、データの更新を行う必要があった。BIPROGYのコールセンターでのデータ更新作業はBIPROGY社員2人と協力会社社員1人、別の協力会社(アイフロント)の委託先社員1人が対応していた。
  • 物理的な運搬を行った理由として、コールセンターにはネットワークがひかれておらず、外部からデータを取得することなどが出来なかったためとしている。さらにデータ更新の作業は今回が初めてではなく、前回は重要情報の運搬を行う運送企業のサービスを利用していたが、今回そのサービスを利用しなかった理由は明らかにされていない。*1
作業完了後居酒屋立ち寄り
  • コールセンターでのデータ更新作業完了後、4人で吹田市内の居酒屋に立ち寄って、3時間にわたり食事や飲酒を行っていた。最寄駅での解散後、USBメモリを持っていた協力会社アイフロントの委託先社員Aは深夜まで路上で寝込んでしまい、その後目を覚ました後に鞄ごと紛失していたことに気づいた。*2
  • BIPROGYでは作業後の速やかな帰社が決まりだったが守られておらず、居酒屋への立ち寄りもBIPROGY社員より持ち掛けられたものだった。*3
許可得ずデータを持ち出し、作業後の消去も行わず
  • 協力会社委託先社員Aは尼崎市の許可を得ずに市政情報センターから鞄に入れてUSBメモリを持ち出ししていたが、市職員は入室管理を行うものの持ち出しの際に立会は行われていなかった。*4また、運搬方法はBIPROGY任せになっており尼崎市はUSBメモリで運ぶことも把握していなかった。
  • 協力会社委託先社員Aは約20年前から市のシステム管理を担当しており、情報センターへの出入りが自由であったり、システムからデータを抽出する際に必要となるID、パスワードも知っていた。*5
  • データ処理そのものについて尼崎市は許可をしていたものの、データの持ち出しについて都度の許可が必要であることを市側も徹底していなかった。
  • さらに作業完了後にデータ消去を行っていなかったが、尼崎市はBIPROGYに対してやむを得ない場合はUSBメモリから速やかにデータの消去を行うことを求めていた。一方でBIPROGYは社員に明確な指示を行っていなかった。*6
  • 同行したBIPROGY社員も気づいていたが注意は行っていなかった。
  • 協力会社委託先社員Aは持ち出す際に尼崎市に事前の許可を得る必要があることを認識していなかったと説明。*7
翌日USBメモリを発見
  • 紛失公表の翌日、飲食を行った店から約1キロ離れた吹田市内のマンション敷地内で紛失したUSBメモリを入れた鞄を発見したとBIPROGYより連絡を受けたとして尼崎市が発表した。
  • 尼崎市はUSBメモリ内の情報について関係機関と協力して調査を進める方針。
  • 協力会社委託先社員Aによれば、発見されたマンションに立ち寄った記憶があると話しており、USBメモリを含め鞄に入れていたもので無くなったものはないとしている。*8
  • 協力会社委託先社員Aと一緒に吹田署職員約30名が動員され、USBメモリの捜索を行った。遺失物の捜索は異例だが、個人情報が特殊詐欺等の犯罪へ悪用されることを防ぐため特別に行ったと説明している。
  • 鞄が発見されたマンションに協力会社委託先社員Aは立ち寄った記憶はなかったが、一緒に捜索を行っていた警察が提案し発見に至った。
市の今後の対応(概要)

尼崎市が公表した今後の対応の概要は次の通り。

  • 支給事務に係る滞りのない実施
  • 市サイトへ事案経過に関する案内掲載
  • 専用の問合せ窓口の設置
  • 外部持ち出しに関する対策・手順の徹底
  • BIPROGYへの損賠賠償請求

公表時点での外部流出は確認されず

2022年6月23日11時時点で判明しているUSBメモリに保存されていた情報は以下の通り。

対象 件数 具体的な項目
住民基本台帳情報 46万517人分 統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日等
住民税に係る税情報 36万573件 統一コード、住民税の均等割額
非課税世帯等臨時特別給付金の対象世帯情報(令和3年度分) 7万4,767世帯分 世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時等
非課税世帯等臨時特別給付金の対象世帯情報(令和4年度分) 7,949世帯分 世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時等
生活保護受給世帯口座情報 1万6,765件 統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義
児童手当受給世帯口座情報 6万9,261件 統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義
  • 公表時点ではこれら情報の外部への流出等は確認されていない。
  • 統一コードは庁内システムで使用する番号であり、マイナンバーとは別のもの。

公表後に発生した関連事象

記者会見でパスワード文字桁数や文字種を発言
  • USBメモリには、データを保存した段階で自動的に暗号化処理が行われるものでパスワードも使用されていた。*9
  • これを受けて、記者会見では第三者が拾得した際にパスワードを解かれるのではないかとする質問に対し、USBメモリで使用していたパスワード桁数や文字種を回答する一幕があった。*10
  • Twitterではこれを受けて、文字列を推測した投稿が相次ぎ、一時トレンドにも文字列が掲載されることがあった。
メルカリに関連を装ったUSBメモリの出品
  • メルカリに「尼崎のUSBメモリ」という名前でUSBメモリと思わしき出品が行われていた。*11
  • 尼崎市は紛失したUSBメモリと掲載された写真のものは異なることを確認してメルカリ側に削除を依頼。問題の出品は既に削除されている。ただし、この件を模倣したとみられる出品事例が他に確認されている。
BIPROGYの紛失当事者の所属誤認
  • USBメモリを紛失した当事者について、BIPROGYは協力会社アイフロントの社員と記者会見等で説明を行っていたが、実際はさらにアイフロントから委託を受けた社員だった。*12
  • 説明での誤りが生じた原因については、アイフロントからの聞き取りで認識を誤ってしまったと説明している。
  • 尼崎市は当事者が再々委託先社員だったことについて、紛失発覚後に初めて知ったことを明らかにしている。
開設窓口に苦情等が殺到
  • 尼崎市が設置した専用ダイヤルに対して、6月23日11時以降1万6000件以上の苦情や問合せが寄せられた。*13
  • 寄せられている者の大半は怒り、苦情、不安を訴えるもの。また銀行の口座番号を変えた方がよいかとする相談もあった。
  • USBメモリから既に流出してしまっていると誤認している連絡が多く、現時点で漏えいが確認されていないことを説明するも理解されるケースは少ない模様。

関連タイムライン

日時 出来事
2022年6月16日10時半~11時半 BIPROGYが毎週開催の定例会議で21日のコールセンターでのデータ更新作業を報告し、尼崎市が承認。
2022年6月21日17時 協力会社委託先社員Aが尼崎市市政情報センターから更新に必要なデータを入れたUSBメモリを持ち出し。
同日 18時 BIPROGY社員2名と協力会社社員1名を加え合計4人で同社のコールセンター現地合流しデータ更新作業を実施。
同日 BIPROGY社員が居酒屋への立ち寄りを持ち掛け。
同日 19時半~22時半頃 4人で吹田市内の居酒屋で飲酒。
同日 最寄り駅近くで解散。協力会社委託先社員Aは徒歩で帰宅。
協力会社委託先社員Aが路上で寝込み。
2022年6月22日 3時頃 協力会社委託先社員Aが目を覚まし、鞄を紛失していることに気づく。
同日 9時 協力会社委託先社員AからBIPROGYに対し終日の休暇連絡。その後周辺捜索するも見つからず、大阪府警吹田警察署へ遺失物届を提出。
同日 14時頃 協力会社委託先社員AがBIPROGYへ鞄の紛失を報告。
同日 14時半頃 BIPROGYが協力会社委託先社員Aと連絡を取り鞄の中身を確認し住基情報が入ったUSBメモリが含まれていることが判明。
同日 15時45分頃 BIPROGYが尼崎市(行政法務部、情報政策課)へUSBメモリの紛失を報告。
同日 16時頃 BIPROGYが件数調査を行い、住民情報等の件数を尼崎市へ報告。
同日 21時頃 尼崎市行政法務部よりBIPROGYへヒアリング。経緯や正確な件数を報告。
2022年6月23日 9時~11時半 BIPROGY社員にて鞄を捜索するも発見至らず。
同日 11時頃 尼崎市が全市民の情報が保存されたUSBメモリを紛失したことを公表。記者会見。
同日 BIPROGYがUSBメモリの紛失について謝罪文を掲載。
同日 協力会社委託先社員Aが盗難届を提出。
2022年6月24日朝 協力会社委託先社員Aと警察官で紛失した付近を捜索。
同日昼 吹田市内のマンションで鞄を発見。
同日 BIPROGYが尼崎市へ紛失したUSBメモリを入れた鞄を発見したと報告。
同日 尼崎市が紛失したUSBメモリを発見したことを公表。
2022年6月27日 BIPROGYがこれまでに公表を行っていた紛失者の所属先に誤りがあったとして訂正。
2022年6月28日 総務相が地方自治体に対して情報セキュリティ対策を徹底するよう求める考えを示す。*14

|2022年7月1日|BIPROGYが第三者委員会の設置を行ったことを公表.|

更新履歴

  • 2022年6月24日 AM 新規作成
  • 2022年6月24日 PM 続報反映(USBメモリの発見、対応経緯の追加等)
  • 2022年6月27日 AM 続報反映(USBメモリの発見等)
  • 2022年7月1日 PM 続報反映(第三者委の設置等)

*1:尼崎全市民情報紛失 際立つ管理の甘さ、会見でパスワード桁数公表,産経新聞,2022年6月23日

*2:委託業者、路上で寝込みメモリー紛失 尼崎市46万人分の個人情報,毎日新聞,2022年6月23日

*3:「飲酒後、路上で寝てUSBなくした」尼崎市の個人データ紛失問題、委託業者が会見,神戸新聞,2022年6月23日

*4:全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表,NHK,2022年6月23日

*5:全住民の個人情報入りUSB紛失、生活保護や納税有無も記載…協力会社員が持ち出し路上で寝込む,読売新聞,2022年6月23日

*6:全尼崎市民46万人の個人情報 委託業者の協力会社社員がUSBに記録し紛失,神戸新聞,2022年6月23日

*7:飲酒の社員、マンション敷地にUSBメモリー置き忘れか…警察は異例の遺失物捜索,読売新聞,2022年6月25日

*8:尼崎市 紛失のUSBメモリー発見 全市民46万人余の個人情報,NHK,2022年6月24日

*9:全住民の個人情報入りUSB紛失、生活保護や納税有無も記載…協力会社員が持ち出し路上で寝込む,読売新聞,2022年6月23日

*10:尼崎個人情報紛失、市がパスワードの桁数明かす 記者会見で,産経新聞,2022年6月23日

*11:メルカリ出品のUSBは“偽物”と判明 泥酔、路上寝して紛失…尼崎市民約46万人分の個人情報が入ったUSBメモリーはどこに,FNN,2022年6月23日

*12:USB紛失は「協力会社の委託先の社員」 市の委託業者、説明に誤り,朝日新聞,2022年6月26日

*13:個人情報USB紛失で苦情殺到 尼崎市に電話1万件超,産経新聞,2022年6月24日

*14:USBメモリー紛失受け“情報セキュリティー対策徹底を” 総務相,NHK,2022年6月28日