精神障害者1490人分の個人情報流出、ウィニーか(asahi.com 2006年07月26日11時11分)
富山県と同県高岡市は26日、同市の精神障害者の個人情報1490人分がインターネット上に流出していることがわかったと発表した。ファイル交換ソフト「Winny(ウィニー)」を介した流出とみられる。
流出した情報には、同市が情報管理のため独自につけた住民コードが付記されていた。高岡市によると、昨年11月の市町合併に伴う情報システム改修で、委託した会社にテスト用としてデータを渡していた。県と市のネットワークからウィニー経由で流出した痕跡がないことから情報処理委託会社なども含め、流出経路の確認を進めている。
流出経路と流出時期の確認は、流出についての責任を明らかにするために必要ですが
高岡市によると、昨年11月の市町合併に伴う情報システム改修で、委託した会社にテスト用としてデータを渡していた。
というところは、それが今回の流出に直結したかどうかにかかわりなく、ひっかかるところです。
精神障害者の個人情報のような極めてセンシティブな情報のデータをテストのために委託した会社に渡す必要があったのかどうかという点が問題です。
どうしても生データを渡す必要があったというのであればやむを得ませんが、ダミーデータですむ問題であったならば、生データを渡した高岡市の対応は無神経という批判を免れないと思います。
この件で思うのは、自治体の情報管理能力です。やはり、心配になります。
市町村の地方公務員で情報関連について十分な知識をもった方が、どれだけ働いておられるだろうか、おそらく非常に少ないであろうと思うのです。また情報関連で有能な方がおられるとして、おそらくは地方公務員としてではなく、別の分野(主として民間で)で働くのであろうと思う。
発注者に知識がない場合は、受注者の言いなりになってしまうと思う。仕事は自分でできないから外部に発注する。しかし、実は発注先の仕事を管理することができないといった構造。
政府、自治体の仕事には民間が行えない仕事や民間が扱うべきでない情報がある。でも、IT化を進め電子化して管理しなければならない。そうしないと人件費を初め経費もかかるし、非効率的となる。
ほとんどの地方自治体にとって、予算の厳しい中やりくりしての電子化対応なのであろうと思う。しかし、その結果が、安易な情報流出につながっているように思える。
でも、考えれば自治体の問題ではなく、実は我々市民の問題である。情報が流出したからと損害額を算定するのも難しく、一方自治体が損害賠償を行えるかという問題にもぶつかる。各自治体は今後更に電子自治体に向って進んでいくのであろう。その為には、各自治体にはせめて1人か1社でよいから電子自治体情報化コンサルタントを雇って適切な対応をしてもらいたいものだと思う。
外部の業者に発注するにしてもコンサルタントがいるか、いないかで大違いというのが私の考えです。このコンサルタントは有能でなくてはならない。だから、能力主義で特命発注で雇って欲しい。
Winnyによる情報流出はずっと前からあることなのですけど、これからは生贄を出してでも、情報を取り扱う職員にはことの重大性を認識させないとだめだと思います。
本件だと管理トップ責任者と委託先なら委託の担当者、内部なら担当者を懲戒免職にして、見せしめにする必要があると思います。
犯罪の厳罰化は効果は疑問視されても、公務員試験(初級でも)に通るぐらいの社会常識がある職員には罰で震えあがらさせることが一番良いと思います。
首にまでしなくても、と思う気持ちが一番のモラルハザードだと思います。
>犯罪の厳罰化は効果は疑問視されても、公務員試験(初級でも)に通るぐらいの社会常識がある職員には罰で震えあがらさせることが一番良いと思います。
公務員にとっては、褒められてるんだか、貶されてるんだか(笑)
それにしてもWINNYからの流出は多いですね。システム改修を請け負うような企業の担当者は、当然のことながらWINNYがどういったものかくらいは知ってると思うんですが、なぜそのパソコンでクライアントのデータが取り扱われるのか理解に苦しみます。
故意にやってるのか、クライアントのデータなどどうでもいいやと思ってるのか、いずれにしてもモラルハザードが業界に蔓延してるのでしょう。
家に持ち帰って作業をすることはあり得るでしょうが、それならWINNYは入れるなよといいたい。
WINNYは、EXCELなどのように、パソコン買ったら付いてくる(富士通など)ようなソフトではなく、後から自分の意思で入れるものなので、これだけWINNY流出が騒がせている世の中では、知らなかったは通用しないでしょう。
公務員しかり、民間しかり、モラルが低下した最近の○○を表すような事件です。(犯人が分からない段階で国名入れたら怒られますよね。)
じじいさん、
失礼ですが、
>家に持ち帰って作業をすることはあり得るでしょうが、それならWINNYは入れるなよといいたい。
家に持ち帰ること、それ自体が流出の始まりだと考えるべきだと思います。
私物を使わなければならないような業務体制ではだめなのです。
使わざるを得ないのは職員の問題ではなく役所の問題ですが。
住基ネットでもあれほど反対があったのは職員が信用されていないからと考えるべきだと思っています。
住基ネット程度でなく指紋その他も悪用(不正利用)、流出等が無ければ、住民にとっては非常に便利なはずですが、実施できないのは信用できないからです。
情報の取扱担当者の意識が向上してもそれだけでは悪意によるものは防げませんが、意識改革も不十分な状態では何をかいわんやです。
センター室、端末室ともにコピーが可能なもの(空のフロッピー、メモリー類も含めて)は持ち込まない、持ち出さないことが基本でしょうね。
>家に持ち帰って作業をすることはあり得るでしょうが、それならWINNYは入れるなよといいたい。
家に持ち帰ること、それ自体が流出の始まりだと考えるべきだと思います。
私物を使わなければならないような業務体制ではだめなのです。
使わざるを得ないのは職員の問題ではなく役所の問題ですが。
分かりにくくてすみません。
「システム改修を請け負うような企業の担当者」のことを書いたつもりだったのですが・・・・
システム改修などを入札で落札できるのは、人件費を削れる中小企業なのかなと思っており、当然削った跳ね返りは担当者に負担が来るのが世の常。休日などに家に持ち帰りしこしことやっていたのかなと。
当然、企業でもダメなのですが、役所と違って資金が潤沢でない中小では生きていくためにはそういったことも・・・・。
言い訳がましくてすみません。
じじいさん、
請け負い企業であっても同じことです。
厳しく管理ができていない管理会社を選定してしまったというのは選定してしまったもの(個人であれ役所であれ)のミスです。
わからなかったものは仕方がないじゃないかと言いたい心情はわかりますが、外部から見れば、それは通らないと心すべきです。
企業としても中小であれ大手であれ、責任の重さは変わりません。
中小だからと言い訳をする、言い訳を聞くのであれば、指名入札で最初から排除してしまうべきです。
排除されるのはどこであれ、一番困ることでしょうし。
価格とリスクが見合わないものであれば、どこも入札しなければ良いのです。
談合を招き兼ねないのも事実だと思いますが、それを防ぐのは一般的な役所の責務でしょう。
>当然、企業でもダメなのですが、役所と違って資金が潤沢でない中小では生きていくためにはそういったことも・・・・。
仕方がないと思うような役所にはそもそも重要情報を扱って欲しくないのが一市民の考えです。
私自身、ある会社のパソコンのメンテをしていますが、重要なデータ(情報)にはそれなりをコストをかけてくださいとお勧めしています。
流出とかではなく、ハードディスクなどが壊れることなどへの対処ですが、絶対壊れないメディアを使うのではなく、どうやっても壊れることはあるとの前提に壊れてもデータを失わなくても良いように勧めていますよ。お金は多少かかりますが。
役所には情報流出も問題ですが、それ以上に役所にとって問題なのは市民からの信頼を失うことだと思います。
クルンテープ様
おっしゃることは尤もであると十分承知しています。
私は、自分の仕事の個人情報を持ち帰ることはないですし、部下にも徹底しています。
ただ、大手の中に食い込んで仕事を見つけてくるためには、必ずしも「価格とリスクが見合わないものであれば、どこも入札しなければ良いのです。」というわけにもいかない場合もあるのです。そんなところは潰れればいいといわれれば、それまでですが。
だからといって、個人情報の漏洩をしても仕方がないとは申しておりませんので、誤解のなきようお願いします。
ところで、指名競争入札の話が出ていたのですが、
地方自治法施行令第167条において、
指名競争入札ができる場合として、
一 工事又は製造の請負、物件の売買その他の契約でその性質又は目的が一般競争入札に適しないものをするとき。
二 その性質又は目的により競争に加わるべき者の数が一般競争入札に付する必要がないと認められる程度に少数である契約をするとき。
三 一般競争入札に付することが不利と認められるとき。
とあるのですが、システムの改修などに関して、どのような条件になるかは分かりませんが、個人情報の保護実績等をもって、一般競争入札ではなく、指名競争入札に付することは可能なのでしょうか。
可能とすれば、第1号の方になるのかもしれませんが、そういった判例ってあるんでしょうか。
じじいさん、
>可能とすれば、第1号の方になるのかもしれませんが、そういった判例ってあるんでしょうか。
なるならば第1号のような気がしますが、判例があるかどうかはわかりません。
というか、個人情報が取り沙汰されるようになったのは最近のことですから、判例は無いんじゃないかと憶測しますが。
あったとすれば、以前から問題に気が付いていた役所があったということにほのかな光明を見ますね。
でもよく考えてみたら、持ち帰り改修ではなく現場改修に限るとか、流出防止対策を入札の条件につけることぐらいはできるんじゃないでしょうか?
朝のニュースで京都府警の捜査官が捜査情報をUSBメモリーに入れて持ち歩いていたのを紛失したと言っていましたね。
まだわかっていないようです。(嘆息)
この事件の関連で思うのが、日経社員のインサイダー取引容疑の事件で次のAsahi Comの報道です。
http://www.asahi.com/national/update/0726/TKY200607260069.html
「広告局で掲載予定の一覧表をつくり、その閲覧にはパスワードの入力が必要だったが、パスワードは広告局の複数の部内で共有され、その部員は少なくとも計約70人。人事異動があってもパスワードは変更されず、鎌田真一・広告担当専務は「知っている人間はかなり広範にわたっていた」と認めた。」
必要としない人間でも、システム上アクセスできる状態になっており、その危険性に気付かなかった。或いは、気付いた人間がいてもシステムの改善にまでは至らなかった。それは、ITの改善で防げた部分もあるだろうし、パスワードの管理の様な使用・運用に関するルールや規則で防げた部分もあるだろうと思う。
日経でも、こうですから、まして・・・・・・と言いたいのです。
請負会社が明らかになりました。
http://www.yomiuri.co.jp/e-japan/toyama/news001.htm
記事の中に契約書でデータを削除することになっていたが確認していなかった、とありますが、確認する手段なんてあるのでしょうか。
請負会社は、ホスティングサービス、セキュリティ商品などを扱っている業界大手なので、社会的責任は大きいと思います。
なんだ、ちゃんと内規があったんじゃないですか。
「当時、認識不足だった」なんて、釈明にもなにもなってません。
内規を作った側に、「当時、認識不足だった」といわれても・・・。
じゃあ誰が内規作ったんでしょうね。勝手にどこからか沸いてきたんでしょうか?
この発言自体が、「認識不足」と言わざるを得ないです。
しかし、
・委託先にデータを渡す→派遣社員が持ち帰る→自分のコンピュータに入れる→WINNY経由で流出する→役所はチェックしていない→トラブル発生→見当違いの謝罪
・警察官(公務員)が個人情報を自宅に持ち帰る→自分のパソコンで作業→メディアを無くすか、WINNY経由で流出→上司はチェックしていない→トラブル発生→見当違いの謝罪
というのが、最近の役所の情報漏洩のトレンドみたいですね。
クルンテープ様がいつになく熱くなられているのも分かります。
公務員・警察官と、派遣社員に個人情報を持たせるのは危険なのでしょうか?NTTでの漏洩などの話を聞くと正社員も十分危ないですが。
職場以外で持たせるのは危険と断定するべき時期に来てます
職場内ではもたるを得ない
職場内では持たざるを得ないかもしれませんが、職場内であっても危険であることを前提として、ガチガチに制度の方を固めた方がいいかもしれませんね。
じじいさん、
>クルンテープ様がいつになく熱くなられているのも分かります。
我が家ではエアコン原則禁止ですから、今の時期は・・・。(笑)
冗談はともかく、今の情報流出のほとんどは悪意というよりも、取り扱う職員の管理意識の希薄さが原因です。
ゴールド免許の話題に運転しないのが一番と書きましたが、今の情報の取扱い方は交通ルールをまったく知らないまま運転しているようなものだと思っています。
少なくとも自転車に乗る感覚で、乗用車ですっ飛ばしているようなものです。