兵庫県尼崎市で情報漏洩が発生しました。
USBで尼崎市民の個人情報を外に持ち出して
泥酔して紛失したそうです。
「ウソでしょ?!」って感じの事件です。
誰がそのような、素人でもわかる
危険な情報の扱いをしたのか、
調べました。
尼崎市個人情報USBを紛失事件の流れ
尼崎市の個人情報が入ったUSBの持ち出しから、紛失するまでの経緯をまとめます。
↓
データ移管作業終了後に、一緒に作業していた元請け会社の社員3人と食事・飲食をする
↓
最寄駅で別れ、担当社員は1人で徒歩で帰宅中に路上で寝てしまう
↓
6月22日 午前2、3時に目が覚め、鞄がないことに気付く
↓
鞄を探すが見つからず、警察署に遺失物届を提出
↓
6月23日:尼崎市の記者会見
路上で寝込むほどの泥酔です。
元々、酒癖が悪い社員だったのか、
アルコールがそれほどまわるまでに、
激務で疲労していた、もしくは、睡眠不足だったなど、
可能性は考えられます。
いずれにしろ、あってはならない事態です。
USBを紛失した業者は誰?
こんな情報の扱い方をしたUSBを紛失した業者はどこのどいつかとても気になります。
その答えは、尼崎市のホームページに事件の経緯として書かれていました。
6月21日(火曜日)、住民税非課税世帯等に対する臨時給付金支給事務の受託者であるBIPROGY株式会社関西支社(所在地:大阪市北区大深町、執行役員支社長:竹内裕司)の関係社員がコールセンター(吹田市)でのデータ移管作業のために必要なデータを記録したUSBメモリーをかばんへ入れて本市市政情報センターから持ち出した。データ移管作業完了後、飲食店に立ち寄り食事を済ませた後の帰宅時に当該USBメモリーを入れたかばんの紛失が判明
6月22日(水曜日)、当該関係社員が可能性のある場所を捜索するも発見できなかったため、同日に関係警察署に遺失物届を提出引用:
https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html
つまり、BIPROGY株式会社関西支社の関係社員がやったと書かれています。
「関係社員」と書かれていることがミソですね。
おそらく、BIPROGY株式会社がどこかの下請けに再委託していて、
そこの社員だと考えられます。
あまりのひどい行動に、再委託先で雇われている派遣社員ではないかという声もあります。
【追記】報道よる担当社員の追加情報
・BIPROGY株式会社の再委託先の社員
・年齢は40歳半ば
・20年近く尼崎市の業務に携わっている
・過去に業務上の問題はなかった
再委託会社の社名は公表されていません。
とはいえ、仕事を請けているのは、BIPROGY株式会社ということですので、
責任を問われるのはBIPROGY株式会社になりそうです。
USBを紛失した業者BIPROGY株式会社とは
尼崎市民の個人情報が入ったUSBメモリーを紛失した業者は、BIPROGY株式会社という企業です。
耳慣れない企業ですが、旧日本ユニシスだそうです。
2006年に、アメリカのユニシスと資本関係を解消し、2022年4月からBIPROGY株式会社に社名を変更したばかりだそうです。
日本ユニシスと言えば、金融機関の勘定系システムを開発・構築できるSIベンダーとして、業界では著名です。金融系で蓄積したシステムのノウハウを活用し、さまざまな業界の社内システム構築、運用している企業です。
実績としては申し分ないのですが、
実際の運用としては、かなりゆるゆるの情報取り扱いをしていたことが今回表面化した形です。
情報漏洩関連では、
日本ユニシス時代の2004年には、ジャパネットたかたの顧客情報流出をおこしています。
https://pr.biprogy.com/news/nr_040312_information.html
BIPROGY株式会社は、日本ユニシスから社名を変更した矢先に事件が発生し、
かなりネガティブな宣伝になってしまいました。
株価は一気に100円ほど下落するなど、
もう一回社名を変更したい気分でしょうね。
紛失USBのパスワードの桁数暴露でトレンド入り
紛失USBのパスワードの桁数を、記者会見で尼崎市が公表してしまいました。
セキュリティー上、パスワードの桁数は教えないのが常識ですが、最悪なことに尼崎市の担当者が記者会見で公表してしまいました。
会見で、パスワードに質問があった際、「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと誇らしげに回答しました。
パスワードの桁数がわかってしまうと、総当たりで文字の組み合わせを試す「ブルートフォース攻撃」が格段にやりやすくなり、パスワードを破られる可能性も高まります。
記者会見で出てきた「13桁」「毎年変えている」というパスワードのヒントから、ネットでは、「amagasaki2022」がパスワードではないかと一時話題になり、
twitterのトレンド1位になるほどでした。
USB紛失で流出した尼崎市民の個人情報の詳細
USB紛失で流出した尼崎市民の個人情報内容を確認したいと思います。
尼崎市の発表によるとUSBメモリに保存されていた情報の一覧
・全市民の住民基本台帳の情報(46万517人分)
統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日など
・住民税に係る税情報(36万573件)
統一コード、住民税の均等割額
・非課税世帯等臨時特別給付金の対象世帯情報
(R3年度分7万4,767世帯分、R4年度分7,949世帯分)
世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時など
・生活保護受給世帯と児童手当受給世帯の口座情報(生保1万6,765件、児手6万9,261件)
統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義(注意)統一コードとは、庁内システムで使用する番号であり、マイナンバー(個人番号)のことではありません
引用:https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html
住民に関して役所が持っている個人情報のほとんどを持ち出して紛失したといっても過言ではない内容ですね。
今のところ情報漏洩は確認できていないと発表がありましたが、
USB獲得競争が闇社会では発生してそうです。