へっぽこヘタレシステム管理者の管理人です。
さて、ちょっと前までは・・・
最近は自治体のミスの記事が多い気がする
非課税世帯等に対する臨時特別給付金・4,630万円の過誤払いが巷を騒がしていましたが・・・
お次は・・・
尼崎市の全住民の個人情報が保存されたUSBの紛失事件です・・・
しかし、これも結局は・・・
【非課税世帯等に対する臨時特別給】の事務を委託した事が発端の様ですので・・・
ホントウにこの【非課税世帯等に対する臨時特別給付金】は市区町村にとっては迷惑な事務です。
幸い、USBはすぐに見つかり、情報が漏洩した形跡もないとの事でしたが・・・
電話等によるクレーム件数が、1万件を超えているとのことです・・・
こういう問題になるとすぐに発注者側の管理責任が問われます。
神奈川県のHDDの転売事件の時も同様でした。
確か記憶では、HDDの転売事件のあとは・・・
国から、HDD等のストレージを廃棄するときは自庁舎内で穴を開けてから廃棄するようにガイドラインが改正されました。
なお穴あけを業者に委託する場合は【ず~っと職員が立ち会い】する必要があります。
こういったセキュリティインシデントが発生すると・・・
なんだかんだで最終的には仕事が増えます・・・
今回の尼崎市の問題で今度はどんなガイドラインを国が出してくるのかと・・・
今から戦々恐々としているところです。
間違いなくなんだかんだで仕事が増えるでしょう。
瑕疵担保責任【契約不適合責任】っていったい何のためにあるのか?
さて、こういう問題が起こると・・・
いったい【機密保持契約】って何の役に立っているのか???
と疑問に感じて仕方ありません。
一般的な機密保持契約では・・・
- 目的外使用の禁止
- 第三者への提供禁止
- 改ざんの禁止
- 消失の禁止
- 複製の禁止
- 善管注意義務
- 社員教育
- 再委託の禁止【再委託する場合は承認要】
- 違反した場合の損害賠償
などが明記されます。
当然ですが・・・
業者選定の際には【ISMSの認証・プライバシーマークの取得】等も条件となりますし・・・
過去にセキュリティインシデントを起こした事がないか等も要件に入ります。
もちろん、監査的な視点から言えば・・・
定期的に立ち入り検査等を実施し、適切にセキュリティに関する内部統制が機能しているかを確認するなども必要となってきます。
今回の件で言えば・・・
【情報を運搬する時】にどのような体制となっており、セキュリティが担保される仕組みになっているかという点がポイントとなるのでしょう。
例えば・・・
- 情報の受け渡しルールの内容が妥当か
- 暗号化等の対策が取られているか
- 運搬方法が妥当か
- 不正ができないチェック体制があるか
等となります。
市区町村の情報セイキュリティの難しいところは・・・
- 個人情報を扱わないと仕事にならない・・・
- 業務の特性上、個人情報にアクセスできる職員がどうしても多くなる・・・
- SIベンダに痛くしないと業務ができない
主にこの3点だと思います。
情報セキュリティを高めるには・・・
- 情報にアクセスできる人間をごく少数に限定する
- 持ち出せない仕組みとする
というのが最も簡単で確実な方法ですが・・・
これだと市区町村の仕事ができません。
請負契約は完遂責任があるはずだが?
かといって、全ての委託業務で職員が立ち会うのか???
と言っても人的リソース的にムリですし・・・
だったら、できるものなら自庁内で全て処理したいくらいです。
自動車メーカーや電機気メーカーの不正検査等が・・・
近年問題になることが多いですが・・・
結局は、企業の内部統制やそこで働く人間やの問題なんですよね。
そうなると、そもそもそんな業者を選定するなよ・・・
という問題に戻るのですが・・・
セキュリティインシデントが発生又は覚知されるまでは、まさかそんな事が起こるとは想定していなかった・・・
という問題になるわけです。
大手の大企業でもガバナンスが正常に働いていない現実
今回問題を起こしたBIPROGY【旧日本ユニシス】なんてシステムインテグレーション界のゼネコンみたいなものです。
信頼性はかなり高いはずの企業であり・・・
尼崎市も・・・まさかこんな問題を起こされるとは思ってもいなかったと思います。
結局のところ日本という国はとにかく計画やルールを作るのが好きな国民性なのでしょうか・・・
合理性や効率性を無視した内部統制を敷き詰めて・・・
その計画やルールに押しつぶされて自分の首を絞めていく・・・
国際競争において日本が勝てないのはやはり世の中の変化に柔軟に対応できないことがイチバンの問題なのでしょう。
欧米だったらどうなのか?契約で契約先にリスク移転すると思うが?
もし同じような問題が欧米で発生した場合には、日本と同じ様にクレームの嵐になるのでしょうか?
単純に契約に従いルールを破った委託先に損害賠償請求をして終わり・・・な気がします。
さて、ようやく本題ですが・・・
この様な問題はどこの自治体でも起こりえます。
もちろん管理人が勤務する自治体でも簡単に起こりえます。
- 戸籍・住民基本台帳・税・保険・福祉等で個人情報にアクセスできる職員は数百人を超える
- ログインには多要素認証を採用しているが悪意を持てば個人情報は見放題
- ログはもちろん取っている
- USBは制限を掛けているが許可を得れば使える
- データ・サーバは委託先のデータセンター内に設置
- 業務委託先職員も個人情報にアクセスできる
- 業務を委託に出さないと仕事が回らない
ん~思いつくだけ列挙しても・・・
何が起きても恐ろしくありません。
- 悪意を持ってやればアクセスできる職員の誰でも個人情報を抜ける
- USBも許可を得れば使える
- 委託先の職員も個人情報にアクセスできる
なんでもやり放題ですね・・・
必要悪とまでは言いませんが、このくらい緩くないと・・・
市区町村の業務はできないのが現状です。
これを防止するには人手を介さずに全ての業務をネットワーク内で自動で処理できるくらい・・・
オンライ申請が普及しないと絶対にムリですね。
【ただしこれでも不正アクセスによる情報漏洩は起こりえます】
人が間に介入する限りは・・・
故意悪意を問わず・・・
情報が漏洩するリスクは絶対にでます。
しかし・・・
なぜ行政がこういう問題を起こすと・・・
一般企業と比してクレームが多いのでしょうか?
例えば、クレジットカード番号の情報漏洩の方がよっぽどダメージが多いと思うのですが・・・
日本は兎に角、行政に対するクレームが酷すぎると感じるのは管理人だけでしょうか?
コメント