2022/06/29
尼崎市の個人情報インシデントの件
以前に、阿武町から誤って4630万円の給付金が振り込まれた事案で、振込依頼にフロッピーディスクが使われていたという事で「まだ現役だったのか」と驚かれましたが、6/23に尼崎市の全市民の情報がUSBメモリーで運ばれた際に紛失したという大事故は全国ネットでのニュースになりました。
無許可での媒体でのデータ持ち出し。作業後のデータ未削除。媒体を持ったまま路上で寝るレベルまで泥酔するなど、セキュリティー講習で見せられる啓発ビデオのような内容そのまんまですが、「明確に委託先社員に指示が出来ていなかった」という点が致命的だったのではないでしょうか。
事件を受けての、改めての業務状況の見直し指示を受けている方も多いかと思いますが、ここは前向きに基本の徹底の機会ととらえて頂ければ。
そもそも「なんで今どきUSBメモリー?」という点なんですが、国が定めている個人情報保護法や各自治体ごとの個人情報保護条例などにより、実際にデータを登録・参照する事務系から、直接にLGWANやインターネットに接続できないように分離されています。(「オンライン結合」による保有特定個人情報の提供の禁止)これにより、データの移動は可搬媒体で運用するしかないというのが実情です。クラウド・ドライブなどを利用すればアクセス制限、参照記録など、物理的な媒体の持ち運びよりもセキュアだろうという指摘ももっともなのですが、そもそもがNGになっています。
尼崎市個人情報保護条例
情報公開制度及び個人情報保護制度について
「セキュリティーレベルの認識が10~20年遅れている」というTVコメンテーターの指摘もありましたが、自治体の個人情報保護審査会による提供先・方法の審査や、条例の改正を進めない事には一歩も動けません。このあたりの課題は「個人情報保護法制2000個問題」としても認識されていました。個人情報の取り扱いを定めている法令・条例が2000個以上あり、それぞれの規定や解釈、運用のばらつきが大きく、個人情報保護法との乖離が懸念されているものです。
これらの問題を受けて、令和3年に交付されたデジタル社会形成整備法による個人情報保護法の改正により、「条例でオンライン化や電子化を伴う個人情報の取り扱いを特に制限することは許容されない」と、オンライン結合禁止の条例を見直す事が決まっています。今後、条例の見直しとシステムの刷新で可搬媒体でのデータ移動は減っていくでしょう。
個人情報保護委員会:公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方
(令和3年個人情報保護法改正関係)
過去の積み上げがある分、公共系ITの最適化の道のりは険しいものですが、政府クラウドやマイナンバーの件も合わせて、うまい落とし所に着地してほしいところです。