｢庁内SEくらいは雇ってくれへんねんか?｣という話

尼崎市役所で痛ましいＵＳＢ紛失事件があり、取り合えずは返却をされていたようですが、色々と市役所の体制の甘さを示す事件となりました。
事件が起きた当初は「業務ＰＣにＵＳＢを挿せることが驚き！」という声も見られましたが、実は市役所はネットワークの構成上、外部記憶媒体を排除することが出来ないようになっています。

💿三層分離によって媒体を排除できず

市役所のネットワークと言うのは、通称「三層分離」と言いまして、総務省が定めた「マイナンバー事務とＬＧＷＡＮと庁内ＬＡＮは分離してね」というガイドラインに沿ってネットワークが構成されます。

そのため、インターネットを見るパソコン、マイナンバーを扱うパソコン、自治体間同士を繋ぐ専用回線（ＬＧＷＡＮ）に繋がるパソコンは別々に存在していることになります。
ネットワーク構成は各自治体でだいぶ違いがあるようで、渋谷区などはかなり高度なセキュリティを実現しているという噂を聞いたことがありますが、一方で阿武町クラスになると、色々と綻びはあるでしょう。
財政破綻寸前の京都市とか案外怪しいですね（苦笑）

それはさておき、市役所はネットワークを三層分離しているということは、要所要所でＰＣ間のデータのやり取りに外部記憶媒体を使わざるを得ない状況が発生します。
恐らくマイナンバー事務を行うパソコンはインターネットには一切繋がっていないでしょうし、ともすれば庁内ＬＡＮにも繋がっていません。
所謂マイナンバー利用事務のチーム内だけで繋がるネットワークによって構成されているでしょう。

ここから一部のデータを、例えば生活保護課であるとか、子育て課などに移動したい場合、どうしてもＵＳＢを使わざるを得ないんですね。
ある意味で、ここは三層分離の思わぬ弱点になります。

💼建物の外に持ち出せたことのヤバさ

今回の事故で最もマズかったのは、ＵＳＢを庁外に持ち出したことです。言うまでもありませんね。
「失くさなければ大丈夫」
とでも思っていたのでしょう。でもそう思った時に限ってだいたい失くしますけどね。
日本ユニシスの変更後の社名、なんでしたっけね。ＢＥＢＯＰだかＢＩＰＢＯＹだったか忘れましたけど、何故か媒体を日本ユニシスに持ち出さなければいけないようになっていたと言うのがおかしな話ではあります。

ただ、パスワード保護はしていたので、そこは評価したいなと言うところなのですが（残念ながらパスワードをかけない自治体が割とある）、何とパスワードの桁数を会見で漏らしてしまうという暴挙に出ました。
このリテラシーが非常にマズいわけですが、何もこんなリテラシーの自治体は尼崎市に限ったことじゃありません。
下手すると尼崎市でもだいぶマシな方です。

🏢またまた出てきた勤続20年

悲しいかな、勤続20年と聞いて、さぶれ事件を思い出してしまいました。
さぶれSMBCソースコード流出事件、皆さん覚えていらっしゃいますか？
あれは日本のＩＴ史に永遠に語り継ぐべき大事件ですが、ここで出てきた言葉が｢勤続20年｣です。

年収300万円PGによるGitHub流出は起こるべくして起きたとしか言いようがない🏧 | 横浜センチュリー

さぶれSMBCソースコード流出事件は｢起こるべくして起きた事故｣でした。
日本ユニシスUSB紛失事故もまた、起こるべくして起きた事故です。
恐らく事故を起こした社員は日本ユニシスの社員ではありません。
FNNニュースでも｢委託先企業の"関係社員"｣と言っていました。
つまり、現場の作業はSESに丸投げされていると見て良いわけです。

この闇の深いところは「２０年間知識がアップデートされていない」ということでしょう。
多くの会社や自治体が運用委託をする際に「富士通やＮＥＣ等の一流企業なら安心だろう」というベースで委託をします。しかし、この〚一流企業〛は〚三流企業〛であるＳＥＳへ業務を丸投げします。
そして業務を受けた多くのＳＥＳもまた、社員を現場に出したらほったらかしになります。

悲しいかな、ＩＴに関わる仕事でも運用職の大半は技術だとか最新のトレンドには一切関心がありません。これはＳＥＳか自社データセンター勤務かに限らずです。
そのため、２０年間〚外の世界を知らないまま〛年月だけ経過してます。
私は大阪転職をする際、ベンチャーと外資系ＳＥ企業で内定を貰いました。
外資系ＳＥ企業は「どんなに長くても一個の客先に居させるのは５年まで」と言うルールを設けていました。
一つの常駐先にずっと居させることの危険性を知っていたからです。

💻運用は外注してはいけない

改めて言うと、システムに関わる部分で運用は外注してはダメです。
田中康夫氏も「大事な情報を扱う仕事を外注しちゃダメだろ」と言ってましたが、これは本当にその通りです。
外注することによって、ポリシーが行き渡り辛くなること、出来る業務にも制限が出る割に自社の社員を雇うより金が掛かるということ。これがシステムの運用を外注してはいけない要素になります。

無駄な金を払い続けるアウトソーシング:ぼったくられてるだけだぞ⓵ | 横浜センチュリー

そもそも論として、定例業務はアウトソーシングに向きません。
開発や保守は「毎日必ず発生する作業では無い」ため、外注した方が良い場面が多いです（保守は業務の性質的に開発担当が行うケースが多いため）。

一方、システムを扱うことそのものを止める場合を除き、何かしらのシステムは常に運用し続けるので、コスト的には庁内ＳＥを一人雇った方が外注を継続するより遥かに安くなります（つまり尼崎市の場合は税金の無駄遣いという意味でも害だということです）。

ＩＴ産業の悪いところは、一次請け企業は自社で殆ど何もせず、他社から人を「調達してくる」構造にあります。
この「調達された人間」は待遇などに大きな不満を抱えたり、あるいはセキュリティポリシーが浸透し辛いと言った弊害を抱えます。そして人月単価は直雇用職員より高いため、税金も無駄遣いという三重の意味で悪いのです。

「ＩＴ人材の人手不足」とはよく言われますが、その割にＩＴ企業に居た人間を中途採用で雇って活かそうとする自治体は殆ど見られないような気がします。
せめて個人情報保護士や情報セキュリティマネジメント、或いは応用技術者や情報安全確保支援士などの情報セキュリティ関連の有資格者を前提に、庁内ＳＥを採用した方が良いと思います。
残念ながら役所はまだまだ新卒主義であり、同族で固まるような閉鎖的な風土があります。
まずはここを壊していかなければ、また役所で同じような事故が続くでしょうね。