|
|
| ||
| 住基ネットをめぐる事件 | |||
HOME サイトマップ 住基ネットワーク 政府・総務省の説明 住記ネット研究会 住基法の改正 住基法の再改正 自治体の対応 杉並区の対応 廃止運動 住基ネット訴訟 稼動延期 ネットからの離脱 稼動前後のドタバタ 住基ネットと事件 自治体の広報 長野県審議会 県条例による利用拡大 本人確認情報の提供状況 箕面市住基ネット検討専門委員 年表 参考文献 研究所通信 新着情報 ご意見・ご感想 サイト内の検索 研究所について
ご注意 当サイトに掲載している情報は全てが最新のものとは限りません。掲載情報の追加、更新は当研究所代表の関心の赴くままに行っていますので、古い状態のままとなっているものもありますし、リンク切れのものも多々あります。その点を踏まえてご利用ください。
住基ネット稼動後の事件を集めてみました。
なお、稼動前後のドタバタについては、こちらをどうぞ。
・ 北海道斜里町職員によるWinnyを介した住基ネット情報流出事件 
・ 福島県岩代町で全町民の住基データ盗難
| 【広告】2 |
◆ | |
|
◆ | ||
|
◆ | ||
|
◆ | ||
|
◆ |
住基ネットに関する情報が、北海道斜里町(位置)の職員の私有パソコンからファイル交換ソフトWinny(ウィニー)を介して、2006年1月中頃からインターネット上に流出していたことが、同年3月29日、『毎日新聞』の報道などにより明らかになりました。
・ 北海道斜里町の記者発表資料
・ 北海道斜里町の「お詫び文書」
・ 新聞各紙の記事をもとに当研究所でまとめた事件の要点
・ 新聞記事へのリンク
・ 事件に関係するリンク
総務省が住基ネットを全国的に直ちに停止することは行政的にも、政治的にも困難であったとしても、少なくとも北海道、及び、指定情報処理機関である地方自治情報センターは、住基法の規定に従って、北海道斜里町への接続を「本人確認情報の安全確保」(第32条の9)にもとづき、直ちに切断すべきでしょう。
住民基本台帳法
(本人確認情報の安全確保)
第三十条の二十九 都道府県知事又は指定情報処理機関が第三十条の五第一項又は第三十条の十一第一項の規定による通知に係る本人確認情報の電子計算機処理等を行うに当たつては、当該都道府県知事又は指定情報処理機関は、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のために必要な措置を講じなければならない。
・ 2006年3月28日の記者発表資料
・ 2006年3月29日の記者発表資料
・ 問題点、疑問点などの指摘
業務資料のネットワーク上への流出についてのお詫び
●このたび、斜里町の職員の自宅にある個人用パソコンがウイルスに感染し、パソコン内に保管されていた斜里町の保有する業務資料が、ファイル交換ソフト「Winny」のネットワーク上に流出していることが判りました。
●流出した業務資料は、平成14年4月から平成16年10月ごろにかけて作成されたもので、予算・決算資料や、業務記録写真、収納関係情報等であります。概要でありますが、全体では1,813件であり、このうち、行政情報に該当するものが1,624件でありました。さらに、この中には、個人情報が記録されている文書が54件で、642人分が含まれていました。
●このことにつきましては、3月15日に総務省から通報を受け、内部調査を進めた結果、判明したものであります。
●これら当事者の方々には、多大な御迷惑とご心配をお掛けすることとなり、誠に申し訳なく、心からお詫びを申し上げます。今後の対応については、早急にお詫びの文書を送るほか、個別にご説明させていただき、対応させていただく考えであります。
●なお、現時点では、情報の不正使用等の事実は確認されておりませんが、町と致しましても、再発防止の観点から、3月15日には、全職員を対象に、個人情報を含む行政情報の外部への持ち出しを禁ずるとともに、ウィニー等のファイル交換ソフトの使用を禁ずるなどの措置を講じたところであります。いずれに致しましても、町民の信頼回復に向けて、行政情報の管理については、更なる強化に努めて参る考えでおります。
以上
情報流出の概要
1 流出した文書(情報の内容が判別できるファイル)
(1) 総量で1,813件
(2) 行政情報に該当するもの1,624件
(3) 行政情報のうち、個人情報が記録されている文書54件で642人の情報
2 行政情報の主なもの
1)行政情報(1,570件)
(1) 事務処理マニュアル、予算・決算に関する資料 756件
(2) 現場写真等記録画像 551件
(3) 事務処理の方法、及び公文書作成にいたるまでに必要な状況を記録した文書(メモの類) 257件
(4) 庁内LANのパスワード 6件
2)行政情報のうち個人情報が記録されているもの(54件・642人)
(1) 税、料などの収納(入金)状況を確認した事務連絡文書17件、232人分
(2)墓地管理台帳の整備に関する事務処理文書、4件、140人分
(3)事務処理の方法、及び公文書作成にいたるまでに必要な状況を記録した文書(メモの類) 19件、63人分
(4) 公民館分館講座に関する記録 4件 47人
(5) 行政連絡会議等の記録 4件 75人
(6) 自治会関係名簿 2件 58人
(7) 受益者分担金調定額一覧(暫定版) 1件 24人
(8)上下水道の未納者リスト 9年度から15年度までの分、3件、3人分
業務資料の流出に関する追加説明
昨日、業務資料のネットワーク上への流出について、内容を説明し、町民をはじめとする関係者に対し、お詫びを申し上げたところでありますが、説明に当たって、住基ネットに関して説明が不足しておりましたので、改めて説明をさせていただきたいと思います。
まず、住基ネット情報の内容でありますが、業務操作マニュアルの中にパスワードが記載されていたもの、及び、全国自治情報センターから送付された通知文が流出したものでありますが、まず、住基システムは特定の端末機は指定された職員のみが使用できることになっており、このためにシステムを作動する端末ごとのパスワードと、操作者の識別カードが必要であります。
今回、流出したパスワードは平成15年当時のもので、現在使用されていないものであります。
また、住基システムに関連する「セキュリティーホールの対策について」という通知文書でありますが、平成16年に全国自治情報センターから送付されたオペレーションシステム上の脆弱性に関するもので、これについても、すでに処理が終わっているもので、今回の流出によって現システムに影響があるとは考えていなかったところであります。
従いまして、これらの情報の流出によって、住基ネットシステムに外部から侵入できるという認識には立っていなかったことから、特に説明をしなかったものであります。
しかし、いささかでも疑念があれば、特に住基ネットについては社会的にも関心の高いものでありますから、昨日の会見で報告をすべきであったと、反省しているところであります。従いまして、斜里町の情報管理の不適切であったことについて、改めてお詫びをし、再発防止に全力を挙げることを申し上げて、追加の説明とさせていただきます。
「3月15日に総務省から通報を受け」(28日の記者発表資料)たにもかかわらず、町からの発表は3月28日(住基ネット関係の情報もあると正式に発表したのは『毎日新聞』が全国版の1面にでかでかと報道した日である29日)。内部調査に時間がかかったということなのかも知れませんが、平成15年度(2003年度)の決算カード(総務省Webサイト内のPDF)によれば、斜里町の一般職員数は僅か152人です。住民登録業務や庁内の情報システムに携わっている職員が複数いたとしても住基ネットの担当者は1人でしょう。「白状」させるのに時間がかかったのでしょうか。それとも、総務省や地方自治情報センターとの相談に時間がかかったのでしょうか。
住基ネット上の本人確認情報が危険にさらされている可能性があると判ったなら、直ちに判断しないと、下手をすると全国民の情報が流出しかねません。流出した住基ネット操作に関わる情報を使って「悪さ」をされる可能性があるのは、斜里町の端末だけではありません。住基ネット全体(端末は市町村だけではなく、都道府県や社会保険庁など情報の利用者側にもあります)が危険にさらされるのです。ですから、全ての自治体の住基ネット担当者に、起きた事実と対処方法を総務省や地方自治情報センターは直ちに知らせるべきでしょうし、被害を被る可能性がある全国民にもテレビにニューステロップを流すぐらいの勢いで知らせるべきでしょう。
こんなに暢気な構えで良いものなのでしょうか。町も道も総務省も地方自治情報センターも、危機意識も危機管理も全然できていないように思います。
ただ、一言付け加えておきたいのは、職員が152人しかいない斜里町に、全国民の個人情報を危険にさらす可能性のあるシステムの操作と安全管理の一端を担わせること自体に無理があるのではないかということです。また、もし今回のような事件により万が一、全国民まではいかなくても多数の国民の本人確認情報が流出した場合、斜里町のような小さな自治体が損害賠償に応じることは可能なのでしょうか。1人10000円(宇治市における漏洩事件での実績)の慰謝料としても、1万人で1億円、10万人で10億円になってしまいます。斜里町の場合、一般会計規模は90億円程度(税収は年間16億円たらず)です。請求に応じられるかというと、まず絶望的ですね。
住基ネットは本来廃止すべきだとは思いますが、とりあえず、安全管理のできない自治体や、損害賠償のできそうにない自治体は自主的に離脱してもらった方が良いのではないでしょうか。
28日の記者発表資料には「3月15日には、全職員を対象に、個人情報を含む行政情報の外部への持ち出しを禁ずるとともに、ウィニー等のファイル交換ソフトの使用を禁ずるなどの措置を講じた」とあります。「ウィニー等のファイル交換ソフトの使用を禁ずる」ことが行われていなかったのは、「Winnyを使わないで」と安倍官房長官が国民に呼びかけたのが同じ15日ですから仕方ないとしても、「個人情報を含む行政情報の外部への持ち出し」も15日以前は禁止されていなかったのでしょうか。わざわざ職員に言わなくても、持ち出したらダメぐらいわかっているだろうと踏んでいたのか、一律に持ち出し禁止にすると、自宅に持ち帰ってまで仕事をする「熱心な職員」の妨げになると考えていたのでしょうか。どうなんでしょうね。
まあどちらにしても、一律に持ち出し禁止としただけでは実効性はないと思います。なぜ、職員は外部に持ち出すのか、もちろん犯罪目的や趣味的な動機は別にしてですが、おそらくそのほとんどは自宅での仕事、いわゆる持ち帰り残業のためでしょう。持ち帰り残業がなぜ起きるのか、どうすれば防げるのかをきちっと考えないと、職員の持ち帰りの仕方がより一層巧妙(周りにばれないよう)になるだけです。
これは斜里町に限ったことではありません。三位一体の改革や地方財政危機の進行のもと、全国のほとんどの自治体で人件費の削減が大きな焦点となっています。削減は職員数だけでなく、賃金や時間外勤務手当にも当然及びます。職員数が減れば、職員1人あたりの仕事量は増えざるを得ません。しかし、勤務時間外の残業は手当の削減のためできません(いわゆるサービス残業は労働基準法違反ですから、お役所としては建前上できません)。増えた仕事をとりあえず処理するための解決策は、持ち帰り残業(上司の見て見ぬふりの状況の下)しかないでしょう。
結局のところ、セキュリティは「ヒト」と「カネ」の問題なのです。
28日の記者発表資料には「庁内LANのパスワード 6件」とありますが、住基ネットの端末は6台あるのでしょうか。29日の記者発表資料には「システムを作動する端末ごとのパスワード」とありますから、パスワードが6件なら、住基ネット端末も6台となります。2005年3月31日現在の斜里町の人口は13,311人です。一般に住民票の写しは年間1人あたり0.7〜0.8枚程度ですから、同町の年間発行枚数は1万枚程度でしょう。年間250日役場が開いているとして1日あたり40枚です。この程度の事務量しかない町で、住基ネット端末が必要となる広域交付は一体どれだけあるのでしょう。もちろん、住民票の写しの広域交付以外にも転出入の処理などに住基ネット端末は使用されます。しかしそれでも、住基ネット端末の使用頻度は、一日数回から多くて十数回ではないでしょうか(斜里町は、数の上では転出入が1日100件もあれば全住民が1年で入れ替わってしまう規模の町です)。ですから、住基ネット端末は多くて2台、いやおそらく1台しかないでしょう。6台はあり得ないと思います。では、残る4〜5件のパスワードは一体何のパスワードなのでしょう。
流出したのは住基ネットの端末のパスワードだが、「平成15年当時のもの」(2006年3月29日の記者発表資料)だから問題ないとの説明だけで、残る4〜5件のパスワードが何なのか説明がなければ、少なくとも斜里町の住民としては納得し得ないはずです。町のみなさんはどう思っていらっしゃるのでしょう。
28日の記者発表資料の「庁内LANのパスワード 6件」でもう一点。「庁内LANの」とありますが住基ネット端末は一般に「庁内LAN」の一部ではないと思います。総務省も住基ネットと庁内LANが物理的につながることを良しとしていなかったはずです。町は、住基ネット端末のパスワードであることを隠すために「庁内LANの」という表記を考え出したのでしょうか、それとも、ひょっとすると斜里町では住基ネットと庁内LANが物理的につながっており、町の認識では「住基ネット端末は庁内LANの一部」なのでしょうか。
総務省も、最近はファイアウォールさえ間にあれば、住基ネットと庁内LANがつながっていても構わないとしているようですが、住基ネットの担当職員の私用パソコンから住基ネット情報を流出させてしまう程度のセキュリティレベルの町が、ファイアウォールを適正に管理しているとは残念ながらとても思えません。斜里町の住基ネット端末の先には、全国民の本人確認情報がつながっているのですから、その点をはっきりさせて欲しいですね。
29日の記者発表資料に「全国自治情報センター」(Google検索)とありますが、これは住基ネットの全国センターを管理・運営する(財)地方自治情報センターのことであろうと思われます。「業界」では「全国センター」と「地方自治情報センター」をあわせて「全国自治情報センター」と呼ぶのでしょうか。ご存じの方がいればお教えください。
29日の記者発表資料に「今回の流出によって現システムに影響があるとは考えていなかったところであります」とか、「住基ネットシステムに外部から侵入できるという認識には立っていなかった」などとありますが、これは斜里町としての判断なのでしょうか。
『毎日新聞』2006年3月29日付の記事「住基ネット流出:町民から不安の声 北海道斜里町」には、3月27日に住基ネット全国センター(地方自治情報センター)に報告したが「『大変なことになりそうかと聞いたら、大丈夫といわれた』と、事態を重視しせず、発表しなかったことを釈明している」とあります。28日には記者発表をしなかったのは町単独の判断ではなく、総務省が関わっていたか否かは不明ですが少なくとも地方自治情報センターとの相談の結果、すなわちその意向を受けた上での対応だったのでしょう。ですから、29日の記者発表資料も同日の毎日新聞の報道を受けて慌てて、おそらく再度、地方自治情報センターに問合わせ、急遽作成したものでしょう。
この文書が、地方自治情報センターの意向によるものであるのは、次のことからも容易に推察できます。パスワードが流出するとシステムが危険にさらされると考えるのは当然のことです。しかし、文書はパスワードは「平成15年当時のもので、現在使用されていない」から安全だとしています。確かに、古いパスワードは漏れても問題ないかも知れません。
しかし、問題はその前の一節です。総務省も地方自治情報センターも、これまで住基ネットは操作者識別カードとパスワードによって守られているとし、自治体に対し、この二つを漏らさないよう厳重に管理するよう指導してきました。が、この文書は、町の「これらの情報の流出によって、住基ネットシステムに外部から侵入」できないという認識とその後の判断や対応を正当化するために、住基ネットシステムは「端末ごとのパスワードと、操作者の識別カードが必要」であるとわざわざ書くことで、暗にパスワードが流出したぐらいでは、何ら問題ないとしてしまっているのです。これは、パスワードを流出させてしまうという大失態を演じ地方自治情報センターに顔向けができない斜里町が、センターの意向を抜きにして単独で言えるようなことでは絶対にないでしょう。すなわち、裏で糸を引いている地方自治情報センターの認識と判断、対応を正当化するために、斜里町にわざわざ書かせたと考えた方が筋が通っているのではないでしょうか。
また、たいへん失礼な言い方ですが、住基ネットの担当職員の私用パソコンから住基ネット情報を流出させてしまう程度の認識や知識レベルしかない町が、通知文書「セキュリティーホールの対策について」が流出しても、「すでに処理が終わっているもので、今回の流出によって現システムに影響があるとは考えていなかった」などと、たとえそれが事実だとしても、「自信」を持って言えるはずがありません。全て、地方自治情報センターとの打ち合わせによるものでしょう。
「3月15日に総務省から通報を受け」(2006年3月28日の記者発表資料)、「3月27日に住基ネット全国センター(地方自治情報センター)に報告した」(『毎日新聞』2006年3月29日付)とありますが、これは事実だと思えません。総務省は流出している情報がどのようなものであるか完全に理解した上で、斜里町に漏れている情報の詳細も含め通報しているはずですから、当然、住基ネットの総元締めである地方自治情報センターにも通報しているでしょう。もし、町が3月27日まで地方自治情報センターに報告せずに放置していたのなら、地方自治情報センターから大目玉を食らっていたはずですし、3月28日の会見で住基ネットについて隠すという「小手先の技」も思い浮かばなかったでしょう。
町は地方自治情報センターにすぐに相談をしたが、同センターの意向(「隠せ」という)が伝えられたのが発表前日の3月27日だったというのが真相ではないでしょうか。
また、もし万が一、地方自治情報センターが、住基ネットに関する情報が漏れたことを総務省から知らされずに、本当に3月27日に斜里町からの報告で初めて知ったとするなら、これはこれで大問題です。総務省は、「総務省住民基本台帳ネットワークシステム緊急対策本部」など絵に描いた餅の危機意識も危機管理も全然できていないとてつもない暢気さ加減にあり、とても住基ネットなど任せられない状態であることになってしまうからです。
ところで、今回の事態は「住民基本台帳ネットワークシステム緊急時の対応の概要」の「脅威度レベル2」に相当すると考えられますが、緊急対策本部ではどのような対応がなされたのでしょうか。緊急対策本部などといっても、結局のところ世論対策にとりあえずでっち上げた画餅にしかすぎないのでしょうか。
なお、「住民基本台帳ネットワークシステム緊急時の対応の概要」では、本部長が若松総務副大臣(在職期間 2002年1月8日〜2003年9月25日)となっていますが、今の副大臣は 山本公一さんと今井宏さんですよね。きちっと引き継ぎしているのでしょうかね。大丈夫かな。
2006年3月31日、「行政情報の流出についてのお詫び」(PDF)との文書が、北海道斜里町のWebサイトに掲載されました。文書は 下記の通りです。
行政情報の流出についてのお詫び
町民の皆様へ
すでに、新聞・テレビ等で報道されているところでありますが、町職員の個人用パソコンがウイルスに感染し、パソコン内に保管されていた行政資料がファイル交換ソフト「ウィニー」のネットワーク上に流出していることが分かりました。
このことは、総務省から通報を受け、内部調査を進めた結果、平成14 年4 月から平成16 年10 月ごろにかけて作成されたものが、本年の2 月ころ流出したことが判明したものです。
○資料の内容は町の予算・決算資料や、業務用記録写真、税・料の収納関係情報など、私的文書を含めると全部で1,813 件あり、このうち、行政情報に該当するものが1,624 件でありました。また、この中には、氏名などの個人情報が記録されている文書が54 件で、642 人分が含まれていたものです。
私どもの情報管理が不適切であったことによって、多くの方々に多大な御迷惑とご心配をお掛けすることとなり、誠に申し訳なく、心からお詫びを申し上げます。
また、個人情報が記載されていた方々に対しては、早急にお詫びの文書を送らせていただいております。
○幸いにも、現時点では、情報の不正使用等の事実は確認されておりませんが、再発防止のため直ちに全職員に対し、行政情報の外部持ち出しや、ウィニー等のファイル交換ソフトの使用を禁じたところであります。
なお、一部に住民基本台帳ネットワークから、町民の皆さんの個人情報が外部に漏れたとの印象を与える報道がありましたが、そのような事実はなく、その可能性もないことを申し添えます。
○いずれにいたしましても、町民の信頼回復に向けて、行政情報の管理については更なる強化に努めて参りますことを申し上げ、お詫びといたします。
平成18 年3 月31日 斜里町長 午来 昌
「お詫び」は、流出した情報について「町の予算・決算資料や、業務用記録写真、税・料の収納関係情報など」とあるのみで、住基ネット端末のパスワードを含む住基ネット関連の情報が流出したことは書かれていません。逆に「一部に住民基本台帳ネットワークから、町民の皆さんの個人情報が外部に漏れたとの印象を与える報道がありましたが、そのような事実はなく、その可能性もないことを申し添えます」として、住基ネット関連の情報が流出したという事実を隠蔽しようとするかの記述があります。
どうして、この期に及んでまで事実を隠したいのでしょうか。地方自治情報センターから「これ以上、事を大きくするな」とでも指示があったのでしょうか。不思議ですね。
ところで「町民の皆さんの個人情報が外部に漏れたとの印象を与える報道」とありますが、どこの誰がそんな報道をしたのでしょうか。当ページに新聞記事などへのリンクを張っていますので、読んでもらえばわかると思いますが、どこにも「個人情報が外部に漏れた」と書いていませんし、そんな印象を与える記事もありません。自分たちのミスを棚上げにして、マスコミに八つ当たりしているように見えます。困ったものです。
この「お詫び」に「住基ネット関連の情報が流出した」事実が書かれていないことや、全体の文面からも感じられるのは、斜里町当局には「住基ネットが全国につながっている」という意識や、「住基ネットは『蟻の一穴』でも崩壊する」という危機感が完全に欠落していることです。町民の「個人情報が外部に漏れ」ていなければ、また「その可能性もない」ならばそれで良しというのは、あまりも住基ネットに対して無知であり無責任であると言わざるを得ません。
今回漏れた「住基ネット関連情報」を材料にして攻撃される可能性があるのは、斜里町だけの住民登録情報や住基ネットではありません。全国津々浦々にネットワークを張り巡らした「住基ネット」であり「全国民の個人情報」なのです。今、斜里町住民の「個人情報が外部に漏れ」ていないからといって、けっして安心できるものではありません。町当局は、Winnyを介して漏れた情報の完全回収は不可能であり、ネットワーク上を漂い続けることや、そのことの意味や危険性を全く理解していないのでしょう。
町当局は「たいへなことをした」と本気で思っているのでしょうか。また、自分たちのしでかしたことが、社会的にどのような意味を持っているのか正しく理解しているのでしょうか。町当局は「個人情報が記載されていた方々に対しては、早急にお詫びの文書を送らせていただい」としていますが、ひょっとすると近い将来、全国民に対して「お詫びの文書」を送らなければならなくなるかも知れないことなど、全く想像もしていないのでしょう。
斜里町当局のこのような低い認識レベルでは、「全国民の個人情報」を収めた住基ネットに関わってもらうべきではありません。直ちに自ら進んで住基ネットから離脱するべきでしょう。また、地方自治情報センターや北海道当局も、住民基本台帳法第三十条の二十九(本人確認情報の安全確保)の規定に従って、全国民、北海道民の個人情報を守るべく 直ちに斜里町との接続を断つべきではないでしょうか。
「お詫び」では「町職員の個人用パソコンがウイルスに感染」とありますが、「個人用」とはどういう意味でしょうか。パソコンとは言うまでもなく「パーソナル‐コンピューター」の略ですから、「個人用パソコン」を訳すと「個人用の個人用の電子計算機」となってしまいます。もちろん、これは揚げ足取りです。まじめに考えてみましょう。
「個人用」に対する言葉は「共用」でしょうか。最近は、多くの市町村で職員1人に1台のパソコンが業務用として配置されるようになってきましたが、ほんの少し前までは、課や係に1〜2台程度しかなく、職場のみんなで共同で使うという状況でした。「共用」のパソコンの状態です。しかし、今や1人1台になった。パソコンは課や係単位ではなく、職員個人毎に配置され、これはAさんのパソコン、これはBさんのパソコンのように、多くの市町村では一種貸与のような形になっているようです(配置されているのがノートパソコンなら、この傾向はより顕著でしょう)。「共用」が「個人用」に代わったわけです。もちろん「共用」から「個人用」に代わったと言っても、市町村の財産であり、業務用であり私物ではないことは確かです。
「ウィニー:住基ネット情報流出 北海道斜里町職員PCから」『毎日新聞』2006年3月29日付が「職員の自宅パソコンが暴露ウイルスに感染した」と報じたり、「住基ネット操作手引が流出、パスワードも 北海道斜里町」『朝日新聞』2006年3月29日付が「職員は仕事場のパソコンのデータを持ち帰り、自宅の私有パソコンに残していた」などと報じたため、私たちは流出もとが「職員の自宅の私物のパソコン」であることは知っています。しかしながら、「個人用パソコンがウイルスに」と書いてある町の「お詫び」だけを読んだなら、町役場が職員個人毎に配置した業務のための「個人用」のパソコンが流出もとのように勘違いするのではないでしょうか。
斜里町の事件が報道される以前に、発覚した流出事件の一つに岡山県警のケースがあります。岡山県警は自らのサイトに「捜査資料のネットワーク上への流出についてのお詫び」という文書を掲載していますが、ここには「警察官の自宅の私物パソコンがウイルスに感染し」と「自宅の私物パソコン」が流出もとであることがはっきりと書かれています。
しかし、斜里町では「自宅の私物パソコン」でなく「個人用パソコン」という誤解を招くような表現が使われています。もっとも2006年3月28日の記者発表資料では、「個人用」は同じですが、「自宅にある」との文言がその前についています。自宅に「業務用」は普通存在しないでしょうから、「私物」であることは了解できます。なぜ、「お詫び」を書く際に「自宅にある」を削ったのでしょう。何か意図がありそうな気がして仕方ありません。
勝手な推理ですが、この職員のパソコンは、もともと自宅にあったのではなく、職場で使われていたものではないでしょうか。流出が起きた自衛隊のケースの場合、私物のパソコンを職場に持ち込み仕事に使用した後、自宅に業務データを入れたまま持ち帰り、Winnyを利用した際にウイルスに感染し生じたものもあるとされています。
斜里町の場合、2002年4月から2004年10月にかけて作成されたファイルが、2006年の2月頃から流出したとされています(2006年3月28日の記者発表資料)。なぜ、2006年の2月頃から流出した、すなわち2006年の2月頃にウイルスに感染したと思われるにもかかわらず、2004年10月までの行政資料しかないのか。答は二つ考えられます。一つは、データをフロッピーか何かの記憶媒体に入れ自宅に持ち帰って自宅のパソコン(流出もととなった)で仕事、いわゆる持ち帰り残業をしていたが、2004年10月以降は、なぜかその必要がなくなった。もう一つは、職場に自由に使える業務用のパソコンがなかったので、流出事件があった愛媛や岡山県警の職員と同じように、しかたなく私物のパソコン(流出もととなった)を職場に持ち込み仕事に使用していた。しかし、2004年10月頃に、職場に業務用のパソコンがあらたに配置されたか、業務命令で私物のパソコンの持ち込みが禁止され、データを入れたまま自宅に持ち帰った。
果たしてどちらなのか。おそらく、正解は後者でしょう。なぜなら、持ち帰り残業がなくなるためには仕事量が減るか、人員が増えるかのどちらかしかあり得ません。しかし、今日の市町村の職場の実態や取り巻く環境から見て、そんなことはまず考えられないからです。一方、「北海道斜里町の職員、住基ネットのパスワードなどをWinny流出」『INTERNET WATCH』2006年3月29日付には、町では業務用のパソコンは「ほぼ1人につき1台が割り当てられている状況だった」と書かれています。もちろん、これは現在ではということでしょう。多くの市町村と同じように、斜里町でも以前は職場にあるパソコンは少なかった。しか、その後、情報化の推進のかけ声のもと順次購入され、現在は1人1台となり、私物のパソコンを持ち込む必要はなくなった。この方が現実的ではないでしょうか。
「いや、そうではなく当該職員が2004年10月頃に人事異動で職場を変わっただけなのではないか」という指摘があるかも知れません。確かにその可能性はあります。しかし、当研究所が得た情報では、当該職員は2004年10月以降も住基ネットに関係する職場にいたようですし、流出した行政情報の中には、自宅ではなく住基ネットに関係する職場において複数の人間が関わって作成されたと考える方が合理的なものも含まれているようです。
流出もとのパソコンは、以前職場で使われていたと考えると、2006年3月28日の記者発表資料にあった「自宅にある」が、「お詫び」で削られたのも説明がつくのではないでしょうか。感染し流出した時点では確かに「自宅」にあったが、後に流出することとなった行政情報の作成に使われていた頃には「町役場」にあった。また、その当時は、私物のパソコンを職場に持ち込み仕事に使うのは、容認されていた。いや、ひょっとすると、公費でパソコンをくまなく配置するのはたいへんだと私費で買って持ち込むことが「奨励」されていたかも知れません。この辺りの事情を当該職員はもちろん、まわりの職員も知っているからこそ、配布先が限られている2006年3月28日の記者発表資料では「自宅にある」をいれたものの、誰もが自由に見ることができるWebサイト上の「行政情報の流出についてのお詫び」(PDF)では削られたのではないでしょうか。削らないと、私物のパソコンを職場に持ち込まざるを得なかった職員たちから不満が出てしまう。これが真相ではないでしょうか。町当局が「私物パソコン」ではなく「個人用パソコン」との表現を使っているのも、ひょっとするとこうした裏事情があるからかも知れません。
北海道斜里町の職員の私有パソコンから流出した「住基ネットに関する情報」ではないかと思われるファイルが、参考資料として「電子政府・電子自治体情報セキュリティ関連資料提供プロジェクト」から4月3日付で公開されました。
2002年12月26日、福島県岩代町において、自治体の個人情報管理の杜撰さを明らかにするとんでもない事件が起きました。この程度の管理がまかり通る状況のもと、住基ネットを存続すのはあまりにも危険です。すぐに停止し、廃止すべきです。
今回盗まれたのは、住基ネットのコミュニケーションサーバー(CS)のバックアップデータではなく、町が独自に設置・運用している住民基本台帳処理システムのバックアップデータです。したがって、住基ネットの存在と、この盗難事件によって引き起こされた個人情報の漏えいの可能性とは、これまでに行われた報道等の範囲内では、特別に因果関係はないと考えられます。
しかしながら、自治体の個人情報保護に対する意識レベルがこの程度であることが公になったのは、大きな意味があります。既存の住民基本台帳処理システムに対する保護措置はいい加減だが、住基ネットシステムは厳格に保護措置をとっているなどとは考えられません。また、岩代町が特別であって、他の自治体は大丈夫などと言える根拠もないでしょう。
町長は、町民からの申し出があれば、住民票コードを変更するようなことを言っているようですが、住所や氏名、性別、生年月日、異動履歴、続柄、本籍、町独自の9桁の管理用コードなどの変更の申し出があった場合どう対応するつもりなのでしょう。
また、来年度予算に、宇治市の事件の判例に基づく15000円/人×9600人=1億4400万円の措置も必要ですね。
以下、関係ニュースへのリンク(順不同)を張りましたが、これらからわかったことは、
福島県郡山市の富士通系の情報処理会社「エフコム」(本社・同県郡山市)の社有車(ライトバン)が、2002年12月26日午後6時20分ごろ、同福島支社の福島市中町にある分室の駐車場に駐車中に、窓ガラスが割られ、「岩代町」のシールが張ってあったジュラルミンケース(大きさは、40cm×15cm×10cm、12cm×50cm×12cm、40cm×15cm×15cm、40cm×10cm×10cmと諸説あり)1個を盗まれる車上荒らしにあった(福島県岩代町の発表は28日)。
被害に遭ったのは、社員が車を離れた数分の間。また、車のドアはロックされていた。
車内には同様に他の3つの町のテープなどが入ったケースがあったが、最も小型の岩代町のケースだけなくなっていた。
盗まれたジュラルミンケースには、岩代町から「エフコム」へ向け運搬途中のデジタルオーディオテープ(DAT)計5本(当初3本、後に訂正)が入っていた。・・・・・DATではなく正確には、DDS(Digital Data Storage)。e-WordsのDAT及びDDSの項参照。富士通サイト内に、DDSに関連するページあり。kamikenさんによるこんな面白いページもあります。
同テープにどんな情報が入っていたのか、町幹部は当初、把握できず、説明が二転、三転。このため、報道により差異があり定かではありませんでした。しかし、最終的に住民基本台帳法第七条に規定されているすべての項目(14項目)と、町独自の住基システム用の管理番号(9桁)の合計15項目に関する同町全町民約9600人の11月末現在のデータだったことが判明しました。・・・・・住民基本台帳に記録された個人情報全てが盗難にあうという前代未聞の事件!!
データは住民基本台帳システムのバックアップデータ。同町は「エフコム」にバックアップ業務を委託しており、毎月1回同社社員がデータをバックアップし、「エフコム」側で3ヶ月保管(経過後、町が消去)している。
データは暗号化されており、同町のコンピュータでしか読み取りできないようセキュリティが施されているとのこと。
12月30日午後、盗難現場から東へ約1キロほどの福島市渡利の阿武隈川の河川敷にて、盗難にあったテープ5本の内、3本(個人情報が記録されたもの2本、ソフトウエアの一部が記録されたもの1本)が発見される。ジュラルミンケースのカギはこじ開けられ、テープは無造作に捨てられていた。
残るテープは、ソフトウエアの一部が記録されたもの2本。
12月30日、職員約100人が大内正男町長名の謝罪文を持ち、町内の全世帯約2300戸を訪問し、コード変更の了承を求める。
12月31日、岩代町は、12世帯の31人が住民基本台帳ネットワークからの離脱を希望したと発表。が、個別の離脱は法律上できないとして、町は離脱を認めず、31人は現行コードのまま、住基ネットに接続するとのこと。
訪問先の9285人はコードの変更に同意、71人は現行コードのままを希望、216人は不在などで意思確認ができず。
町は年末年始で接続していない住基ネットを再稼働する1月6日までに、コードの変更作業を完了させる予定。
大内正男・同町長の発言。
・町民に不安を与えないためにはどうすべきか、検討していて公表が遅れた。
・非常に残念で責任を感じる。
・個人情報の悪用はハッカーやウイルス感染を心配していたが、車上荒しによる盗難は想像外で残念。
・業者とは通常の信頼関係のもとに業務を委託してあるが、全く予想だにしなかったことで大変、驚いている。大きな問題だが、できるだけ町民に不安を与えぬよう最善の対策をしていく。
・(犯人に)何か要求されるなど、住民に不利益が及ぶ恐れもあり、大変困惑している。
・住基ネットの11桁の番号を変えたいという住民の希望があれば応じる。
・今回の件は特段(住基ネットを)切断する理由にはならない。
・どこでも同様の事件が起こる可能性がある
・たまたま岩代町が被害に遭ったという残念な思いは残るが、(今回の事件は)情報管理などさまざまな面で警鐘を鳴らした。
伊藤・同町課長の発言。
・特殊な機器でないと解読できないよう情報処理されており、実際に漏えいする可能性は極めて低い。
HOME サイトマップ 住基ネットワーク 政府・総務省の説明 住記ネット研究会 住基法の改正 住基法の再改正 自治体の対応 杉並区の対応 廃止運動 住基ネット訴訟 稼動延期 ネットからの離脱 稼動前後のドタバタ 住基ネットと事件 自治体の広報 長野県審議会 県条例による利用拡大 本人確認情報の提供状況 箕面市住基ネット検討専門委員 年表 参考文献 研究所通信 新着情報 ご意見・ご感想 サイト内の検索 研究所について
ご注意 当サイトに掲載している情報は全てが最新のものとは限りません。掲載情報の追加、更新は当研究所代表の関心の赴くままに行っていますので、古い状態のままとなっているものもありますし、リンク切れのものも多々あります。その点を踏まえてご利用ください。
from 2006.3.29
