<尼崎市のUSB紛失事件で明らかになった情報管理の問題点は、契約違反の再委託の存在や、USBが物理的に第三者にわたるリスクだけではない>
先日、日本で「USBメモリー」にからんだニュースが話題になった。6月21日、兵庫県尼崎市で、すべての市民46万517人分の個人情報が入ったUSBメモリーを、関係者が紛失したというものだ。
市役所から、コロナ禍における臨時給付金支給関連の事務業務を請け負ったBIPROGYという会社が、さらにその仕事を市に無断で再委託(孫請け)し、その会社はさらに下請けの会社の社員に業務を担当させていた。市民の情報が外部に持ち出され、その管理が杜撰だったことで、大きなニュースになった。
これを受けて尼崎市は、孫請けなどは知らされておらず、「契約違反があった。様々な観点から賠償請求を検討する」と述べている。結局、USBは24日に無事に発見され、情報が漏洩した形跡はなかった。
そもそも、尼崎市はUSBメモリーを暗号化して、パスワードがなければ中身は見えないようにしていた。ただこの紛失事件を受けて尼崎市が行なった記者会見で、担当者らが「パスワードは13桁」であることなどいくつものヒントをばらしてしまった。これにSNSでは批判の声が上がり、挙句には尼崎市USBメモリーのパスワードを推測する「大喜利」のような盛り上がりを見せた。
もちろん契約違反の孫請けなどは大変な問題だと言えるが、13桁のパスワードを設定していたことで、仮に見ず知らずの誰かがそのUSBメモリーを拾って中身を見ようとしても、パスワード解読が難しかっただろうことが窺える。長いパスワードを設定していたことが不幸中の幸いだったと言える。
役所の内外で同じUSBメモリーを抜き差しするリスク
ただサイバーセキュリティ問題を取材している筆者にしてみれば、ニュースに触れた際に別の心配が浮かんだ。それは、USBメモリーを外に持ち出したことで、第三者が物理的にUSBメモリーにアクセスできてしまうというリスクだけではない。
問題は外部の関係者が、役所以外の環境で使ったUSBメモリーを、今度は住民情報が保存されているパソコンなどに挿して使用できるリスクだ。きちんとセキュリティが施されていないシステムでUSBメモリーを使えば、そのUSBメモリーが気付かぬうちにマルウェア(ウィルスなどの悪意あるプログラム)に感染してしまう危険性もあり、何かに感染したUSBメモリーが次に役所に持ち込まれてしまう危険性も排除できない。
マルウェアに感染したUSBメモリーを、市役所や委託先企業に持ち込んで、内部のシステムに接続すればどうなるか。システムにも感染が起き、ただの情報漏洩だけでは済まなくなる可能性もある。
