スポンサーリンク

080-お仕事

弘前市職員が2,700人の個人情報流出について!役所(地方公共団体)のセキュリティーは多分どこも甘々だと思う・・・!

青森県弘前市などの職員約2,700人分の個人情報が記されたデータが12日に匿名の人物からマスメディアに寄せられたという記事がありました。

データには氏名、住所、生年月日、給料支給額、最終学歴などの詳細な情報があったとのことです。

また、「職員の個人情報が流出している」と指摘するメールが2日に市に寄せられていた事実も判明しました。

市は「データが内部情報なのか?市のサーバーに外部から侵入があったかもを含めて調査中」との事です。

外部からの不正アクセスはまずありえない・・・内部犯行しかない!

現在地方公共団体の業務系パソコンは、全国統一的なセキュリティクラウドというシステムで構成されています。

これは、簡単に言えば、地方公共団体のパソコンからは直接インターネットにアクセスできない構成となっており、インターネットを使う場合は、インターネットに接続された専用物理の端末を使うか、「Citrix等」の画面転送システムを使って利用します。

ですので、基本的に外部から不正に内部サーバーにアクセスすることは事実上は不可能です。

・・・と思っていたら、やはり内部犯行であったとの記事がありました。

やはり内部犯行だった!

内部犯行で容疑者が逮捕されたとの記事が掲載されていました。

内容は次のとおりです。

漏えい容疑で弘前市職員逮捕 市の個人情報、地元紙に―青森
青森県弘前市の職員約2700人分の個人情報が流出した問題で、青森県警は1日、同市職員瓜田武久容疑者(53)=同市北柳町=を地方公務員法(守秘義務)違反と偽計業務妨害の疑いで逮捕した。
県警によると、情報を流出させたことは認め、偽計業務妨害容疑は否認しているという。逮捕容疑は、昨年12月12日、弘前市職員の個人情報を添付した電子メールを地元紙に送信し、業務上知り得た秘密を漏らすとともに、同月から今年2月にかけ、地元紙から連絡を受けた市に情報流出の有無の確認をさせるなどし、市職員の通常業務を妨害した疑い。
弘前市によると、瓜田容疑者は市農業委員会事務局主査で、メールが届いたのは地元紙の東奥日報社(青森市)。
2017年度時点の非常勤を含むほぼ全職員2747人分の氏名、最終学歴、給料など約70項目が記され、市人事課で管理するデータとほぼ同じものだった。
流出ルートが判明しなかったため、市は今年1月8日、地方公務員法(守秘義務)違反の疑いで県警弘前署に容疑者不詳のまま刑事告発した。
市人事課で管理するデータは同課の共有サーバーで保存されており、アクセスできるのは同課のパソコンに限られ、パスワードが必要。
瓜田容疑者は昨年10月から長期休暇中で、過去に人事課に在籍した経歴はないという。
県警によると、瓜田容疑者はデータを持ち帰って自宅のパソコンから送ったと供述している。県警はデータの入手経緯や動機などを詳しく調べる。
桜田宏・弘前市長は「職員の逮捕は極めて遺憾で、市民の皆さまに心より深くおわびする。事態を重く受け止め、職員一丸となり信頼回復に全力で努めたい」とコメントを出した。

JiJi.com

漏洩したデータ形式ははっきりとは明記されていませんが、市の人事課によると、漏洩したリストに似たエクセルデータ形式で職員の個人情報を管理しているとのことです。

また、職員のデータは、同課の共有サーバーに過去分を含めて保存さており、データにアクセスできるのは閲覧に必要なパスワードを知る職員のみだという事です。

JiJi.comの記事では「 市人事課で管理するデータは同課の共有サーバーで保存されており、アクセスできるのは同課のパソコンに限られ、パスワードが必要」となっていますが、これは正直なところウソくさいですね。

人事課専用のネットワークを構築しているとは思えない!

どこの自治体でもそうだと思いますが、人事課だけの専用ネットワーク(物理的・論理的含む)を構築しているところはまずないと思います。

一般的には、全部署のネットワークは、いくつかのセグメントに分かれていたとしても、最終的には、上位のL3スイッチでルーティングし、相互に通信できる様に設定されている筈です。

そうでもしないと、ネットワーク設定がかなり複雑になりますし、毎年人事異動があり、部署の位置も変わる事をあることを考慮すると、いちいち部署単位でスイッチの設定なんてしてられません。

ですので、弘前市でも恐らく同様に全部署共有のネットワークになっていたと推測します。

せいぜいあるとすれば、人事課専用のNASが置いてあるくらいでしょう・・・

しかし、そのNASも可用性を考慮すると、いらくRAIDが組んであったとしても民生品です・・・

専用のサーバーにかないませんので、恐らくですが、ウインドウズアカウントを部署別に作り共有のファイルサーバーを使っていたと思います。

つまり、IDとパスワードさえ分かれば、誰でも人事課の共有ファイルサーバーにアクセスできるという事です。

スポンサーリンク

どこの役所のセキュリティーも実際は甘々・・・

その共有ファイルサーバーのIDとパスワードも定期的に変えれば良いのですが、滅多に変えません・・・

セキュリティポリシー的には、定期的に変更する様になっているのですが・・・

案外面倒くさいので、誰も変えないんですよね。

ですので、人事異動の度に、職員が入れ替わる度にIDとパスワードがどんどん漏洩していくという仕組みです。

この容疑者は、人事課に所属した事がないとのことですが、恐らく・・・

知っている誰かから教えてもらった

若しくは・・・

非常に簡単なIDとパスワードだった(例えば:jinji/jinji)

可能性があります。

しかも、長期休暇中との事です・・・

大方、パワハラ・激務・本人のやる気なしか何かでうつ病で休んでいいたのでしょう・・・

最近流行りの周りのせいにしたがる新型うつかもしれません。

新型うつについてはこちらの記事を!

被害妄想で勤務先に嫌がらせをしたかっただけかもしれません・・・

ブログランキングにご協力ください!
ブログランキング・にほんブログ村へ

せめてもの救いは住民の個人情報では無かった事・・・

せめてもの救いは、漏洩した情報が職員の情報であり、住民の個人情報でなかった事でしょう・・・

宜野湾市の男性職員が住民の個人情報を漏えいさせたという事件もありましたが・・・

宜野湾市の情報漏洩事件の記事はこちら

役所の中でも、住民登録部門・税部門・保険部門・福祉部門等は、全ての住民の個人情報を簡単に見れますし、抜き取る事もできます。

その気になれば、簡単に全住民の情報を漏えいさせる事ができるのが、役所のセキュリティの本当の姿です。

地方公務員法の守秘義務条項により、そんな事をした場合の後の事(懲戒処分)を感がると、誰もそんな事はしないだろうという、性善説によりシステムが運用されています。

これは、役所だけではなく、おそらくどこの企業も同じでしょう・・・

内部犯行による情報漏洩は、その気になってやろうと思えば、いつでもどこでも起こり得るのです。

後は、ログの照会・解析によりいつその事実が発覚するかだけの話です。

管理人の公務員関連記事はこちら!

まとめ

内部犯行による情報漏洩はいつでもどこでも起こり得る

性善説に頼ってセキュリティをコントロールしているのが現状

アクセスログの照会・解析でその事実がいつ判明するかだけのこと


ブログ開設に必要なドメイン取得、サーバーレンタル、ASPの登録等は、こちらのサイトから!

スポンサーリンク
スポンサーリンク

-080-お仕事

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

20代の公務員からの転職希望者が増加しているらしい!組織への不満が原因らしいが?

20代の公務員からの転職希望者が増加しているという記事がありました。 転職希望の20代公務員”が急増…その理由は組織への疑問にあった転職を希望する20代公務員が急増昔に比べて転職をすることが当たり前の …

money2-eyecatch

新型コロナウイルス緊急経済対策による特別定額給付金・10万円!自治体間で給付スピードの競い合いの様相を呈してきた!マイナナンバーカードの申請急増も!支給される基準は?

さて、昨日も引き続き・・・ 新型コロナウイルス緊急経済対策による特別定額給付金の打合せでした。 また、2020年4月27日が申請基準日でしたので、基準日時点の住民基本情報データのバックアップとデータ抽 …

10年前に作ったACCESSのシステムがまだ動いていた事にビビッた件!しかもかなり重宝されていた・・・!

さて、もう10年くらい前になりますが、管理人が福祉の部門に所属していたときに、手作業に嫌気がさして、自分で作ったACCESSのシステムがまだ現役で使われていたことが分かり・・・少々びっくりしました。 …

元婚活イベント担当者からみた婚活とは?タイミングと運と本人のやる気次第だと思う!結婚はスタートでありゴールではないよ!

さて、管理人のブログに何故か婚活相談のアフィリエイトのオファーが来ましたので、元婚活イベント担当者として婚活について掲載します。 親の世代までは当たり前だった人生のレールが今は無い? 管理人の親の世代 …

報道されている地方自治体の借金返済金 25道府県で積み立て不足の状態とは・・・?

返済のための資金が国から交付される地方自治体の借金、「臨時財政対策債」をめぐり、25の道府県で、事実上、資金の積み立てが不足している状態になっていることが総務省の調べで分かりました。専門家は「このまま …

スポンサーリンク
スポンサーリンク
スポンサーリンク