市区町村の個人情報取り扱い業務は幅が広すぎるにも拘わらず・・・
情報を取り扱う職員のリテラシー的にかなり危ない状態だと日々悩む管理人です。
国・県・市区町村では個人情報を取り扱う量が違い過ぎる
さて、一口に官公庁といっても・・・
大きく分ければ、国・県・市区町村があるわけですが・・・
個人情報を扱う量的には・・・
市区町村 > 県 > 国(国税を除く)
だと管理人は認識しています。
特にリアルタイムの住民基本台帳の情報は、市区町村しか持ちえません。
(住民基本台帳ネットワークで某組織は見放題かもしれないが?)
ということで・・・
市区町村はかなり広範囲の業務に渡り個人情報を取り扱っています。
人口規模が多くなれば多くなるほどその量も比例して大きくなります。
所得税の関係で税務署もかなりの情報を扱っていると思いますが・・・
所得税が課税される方に限定されますし・・・
世帯情報等は限定的ですので、特定の市区町村に限った情報でいえば・・・
当該市区町村がもっとも多くの個人情報を取り扱っていると言えるでしょう。
職員のリテラシーが心配
さて、個人情報に対する世間の目が厳しくなって久しいですが・・・
googleで【懲戒処分 個人情報 不正アクセス】と検索すると・・・
かなりの情報がヒットします。
例えば・・・
職員同士のトラブルが原因で相手職員(同僚職員)の個人情報を自己の目的で不正に取得し利用。当該職員への聞き取りや住民情報システムのログ等を調査した結果、当該職員が職務の用以外で住民情報システムを使用し、同僚職員の個人情報を不当に利用したことが確認された。
複数職員のIDとパスワードを悪用してシステムに不正アクセスを行い情報を取得。
住民記録システムの端末を利用し、業務以外の目的で個人情報を閲覧していた。
等々が検索結果に表示されます。
こういう情報が散見されるところを考えると・・・
管理人が勤務する市区町村でも同様の問題がいつ起こってもおかしくないのではないかと心配にならざるを得ません。
システムには多要素認証が導入されているが?
管理人の市区町村の個人情報系システムには・・・
多要素認証が設定されています。
- 顔認証
- ID・パスワード
セキュリティ対策としては・・・
所有・記憶・生態認証
の3つがあり、その複数を使うことで多要素認証となると記憶していますが・・・
管理人の勤務する市区町村では、記憶と生態認証を利用している訳です。
ログなんて見ても分からない
さて、ログは見ますが・・・
毎日、何百~何千件とログが吐き出されますので・・・
業務に関係がある検索なのかどうか???
なんて見ても分かりません。
不正アクセスかどうかについては・・・
【特定の個人や組織から調査依頼があって調べった結果判明する】
とういのが、現状だと思います。
何らかのトリガー(調べるきっかけ)がないと分からない訳ですね。
悪意もってすれば簡単にできるし防ぎようがない
システムに対するアクセス権限が正しく付与されていたとしても・・・
当たり前の話ですが・・・
業務に関係ない個人の情報を取得することはやっていはいけません
例えば・・・
ご近所さんの所得を調べる等はもってのほかなのですが・・・
権限さえあれば調べることはできる訳です。
あとは【やるか・やらないか?】
次にそれが【バレるか・バレないか?】
なんですよね。
つまり業務を行う職員のリテラシーに掛かっているわけですが・・・
実態はどうなんでしょうかね???
心配になります。
動機と機会と正当化
不正のトライアングルとしては、動機と機会と正当化が一般的ですが・・・
- 動機:不正に情報をしたい理由がある(故意・悪意を問わず)
- 機会:不正をできる環境がある
- 正当化:これをやってもよいとう正当性バイアスが掛かる(理由付け)
管理人は聖人君子ではありませんし・・・
この3つがそろった場合に不正をしないとう自信は全くありません。
むしろやってしまいそうで怖い・・・
機会がないのがイチバン
と考えると・・・
やはりそもそも悪いことをできる環境【機会】がないのがイチバン安全です。
前述の不正アクセスの事例では・・・
機会があったわけですから・・・
できれば、個人情報を取り扱う部署には行きたくないというのが正直なところですが・・・
市区町村だとそれが難しいんですよね。
なぜバレるのか?
前述の不正アクセスについては、何らかの理由があって調査した結果判明したものです。
逆言えば、ログはしっかり残っているので、何らかの調査が入るきっかけがあれば、必ずバレるとういことです。
管理人は立場上よくログは見ますが・・・
- いつ
- 誰のIDで
- どの端末から
- どの業務で
- だれの情報を
取得したのかが全て記録されています。
端末情報があるので、仮に他人のIDを不正に利用した場合でも・・・
物理的にあり得ない端末から操作されたことが分かれば・・・
IDの不正利用も目途を付けることができます。
こういうことを考えると・・・
市区町村の職員って思いのほかリスクが高い仕事かも???
と考えてしまいます。
コメント