尼崎市の市民情報を入れたUSBメモリの紛失事件について

今年の６月に、兵庫県尼崎市の住民基本台帳データ46万517件などを入れたUSBメモリを紛失するという事件が起きた。

６月２１日に男が泥酔して吹田市の路上で寝込んで、このUSBメモリを入れた鞄を紛失した。６月２４日に、男は警察官と一緒に周辺を捜索し、吹田市内のマンション敷地内で鞄を発見した。USBメモリーにかけられたパスワードが変更された形跡はなく、情報流出は確認されなかった。

下の記事で、紛失したUSBメモリは２本（１本はコピー）だったことが公表された。１本だと、読み取りエラーが起きる可能性があるから、２本用意するのは悪いわけではない。なぜ重要なデータをUSBメモリーにコピーして、持ち出さないといけなかったかについても、この記事に書かれている。

全市民46万人の個人情報が流出の危機、 バックアップ用のUSBも同時に紛失

要約すると、以下のようになる。

臨時特別給付金を該当者に支給するために必要な情報を、尼崎市政情報センターのサーバから、コールセンターのサーバにコピーする必要があった。
コールセンターには外部とのネットワーク接続環境がなかったので、２月のコールセンターの開設時には尼崎市政情報センターのサーバーからデータを抜き出し、運送業者のセキュリティー便で郵送していた。
４月に、2022年度分の臨時特別給付金を支給することが決まったので、業務委託先の担当者が最新のデータを入れたUSBメモリをコールセンターに自分で持っていき、コピー作業後、帰宅中にUSBメモリを紛失した。

この事件については、尼崎市の管理能力のなさとか、業務の再々委託とか、いくつかの問題点が指摘されている。それらは１個１個が一つの記事になるテーマだと思うので、それ以外の点について、書いておきたい。

1.なぜ、今回は、運送業者のセキュリティー便を使わなかったのか？
　不思議である。何か理由があったのだろうか。

2.なぜ、担当者はコールセンターのサーバにデータをアップロードした後、USBメモリの中身を消さなかったのか？
　これも不思議である。担当者は何も考えていなかったとしか思えない。

3.なぜ、尼崎市職員は作業に立ち会わなかったのか？
　ひょっとして、この日のコピー作業を知らなかったのかもしれない。

4.コールセンターでは、問い合わせ実績のデータが蓄積されていくはずである。それらのデータを外に持ち出すこともあったのではないかと思う。その処理は安全になされていたのだろうか？
　尼崎市政情報センター内のサーバーと、コールセンターのサーバが
　ネットワークでつながっていなかったことについては、
　常時接続が必要でなければ、それでいいと思う。
　昨今は、ネットワークを通じて、セキュリティ犯罪が発生することも
　多いので、不要ならネットワークは無い方がいい。
　しかし、コールセンターのサーバからデータを持ち出す処理が
　あるのなら、それも正しく行われていたか確認するべきである。

データの重要性を認識すべき人たちが、業務を全うしていない。これまで事故が起きなかったのが不思議である（ひょっとして、起きていたのかもしれないが）。

この事件の後、尼崎市長は、夏のボーナスの195万1980円をもらわないことにした。行政への信頼を大きく失墜させたことに対する反省と、再発防止に向けた決意を示すためだそうだが、そのお金は何に使われたのだろうか。

今回に限らず、毎年のように、セキュリティ事故は起きる。

この記事によると、「紛失したのは市の業務を孫請けした会社の男性社員で、この業務の「リーダー的存在」だった。男性は約20年前から尼崎市のIT関連業務に携わっていた」そうだ。

再々委託で２０年間も同じ仕事をしていて、リーダーの立場だと、一人で勝手に作業もするだろうし、油断もするだろう。悪意が無くても、過失は起きる。でもそれをカバーする人がいない、ということである。しかし、ＩＴ関係では珍しいことではない。

去年の１０月に起きた、徳島県のつるぎ町立半田病院のセキュリティ事故の報告書が公開されている。その中に、この病院のシステム構成図が載っている。そのシステムには、この病院のシステム管理課長の名前を付けたサブシステムが含まれている。
業者の提供するシステムの不足分を彼が開発したのだろうが、おそらく、その中身を知るのは、彼一人だけだと思う。仕様書などを残していればいいのだが、そうでなければ、将来、他の人がこの部分を改修するときに困るだろう。

この病院のことについては、改めて書こうと思う。ただ、ここで言っておきたいのは、病床数が１２０もある病院のシステムは、部下のいないシステム管理課長一人ではカバーできないほどの、複雑で巨大なシステムだ、ということである。

なお、この記事を書くにあたって、参考にした情報は以下のものです。

USB紛失は「協力会社の委託先の社員」　市の委託業者、説明に誤り：朝日新聞デジタル

尼崎市長、再委託は「契約違反」　個人情報紛失で損害賠償請求を検討：朝日新聞デジタル

尼崎市長、夏ボーナス195万円を全額カット　USB紛失受け：朝日新聞デジタル

SE業界の悪しき商慣習、公取委が指摘　6次下請けや中抜き横行：朝日新聞デジタル

IT業界の多重下請け構造の問題点・原因・対策状況のまとめ | 若手エンジニアの羅針盤

Regarding the loss of a USB memory containing citizen information of Amagasaki City

In June of this year, an incident occurred in which a USB memory containing 460,517 basic resident register data of Amagasaki City, Hyogo Prefecture, was lost.

On June 21, a man got drunk and fell asleep on the street in Suita City, and lost the bag containing this USB memory. On June 24, the man searched the area with a police officer and found the bag on the premises of an apartment building in Suita City. There was no evidence that the password on the USB memory had been changed, and no information leakage was confirmed.

In the article below, it was announced that there were two lost USB memory sticks (one was a copy). If there is only one, reading errors may occur, so it is not bad to prepare two. The article also explains why he had to copy important data to a USB memory and take it out.

In summary:

It was necessary to copy the information necessary for paying the temporary special benefits to the appropriate person from the server of the Amagasaki Municipal Information Center to the server of the call center. Since the call center did not have a network connection environment with the outside, when the call center opened in February, data was extracted from the server of the Amagasaki Municipal Information Center and sent by security mail of the shipping company. In April, it was decided to pay the temporary special benefits for fiscal 2022, so the person in charge of the outsourced company took the USB memory with the latest data to the call center and copied it. After that, he lost the USB memory on his way home.

Several problems have been pointed out regarding this incident, such as the city's lack of management ability and the subcontracting of the work. I think that each one of them is the theme of one article, so I would like to write about other points here.

1.Why didn't the person in charge send it by security mail of the shipping company this time?

 It's strange. I wonder if there was a reason.

2.Why didn't the person in charge delete the contents of the USB memory after uploading the data to the call center server?

 This is also strange. I can't help but think that the person in charge
 didn't think anything of it.

3.Why didn't Amagasaki city staff attend the work?

 Perhaps he didn't know about the copy work that day.

4.At the call center, the data of the inquiry results should be accumulated. I think I may have taken those data outside. Was the process done safely? 

 Regarding the fact that the servers in the Amagasaki Municipal
 Information Center and the servers in the call center were not connected
 on his network, I think that's fine as long as you don't need
 a constant connection. These days, security crimes often occur
 through networks, so it's better not to have a network if it's not necessary.   However, if they have a process to bring data out of the call center's server,
 they should make sure it's done correctly as well.

People who should treat data with care are not doing their job. It is strange that no accidents have occurred so far (perhaps they did).

After this incident, the mayor of Amagasaki decided not to take the summer bonus of 1,951,980 yen. It is said that it is to show remorse for having greatly lost trust in the administration and determination to prevent recurrence. What was the money used for?

Not just this time, security incidents happen every year.

According to this article, ``The man who lost the USB memory was a male employee of a company that subcontracted the work of the city, and was the 'leader' of this work. The man had been involved in IT-related work in Amagasaki City for about 20 years."

He has been doing the same work for 20 years on a re-subcontract, and if he were in the position of leader, he would probably work alone and let his guard down. Even if there is no malice, mistakes can happen. But it means that there is no one to cover it. And this is not uncommon in IT.

A report on the security incident at Tsurugi Municipal Handa Hospital in Tokushima Prefecture, which occurred last October, has been made public. In it, there is a system configuration diagram of this hospital. The system includes a subsystem named after the hospital's system administrator. He probably developed the missing parts of the system provided by the vendor, but I think he's probably the only one who knows what's inside. It would be nice if he left the specifications, but if he didn't, it would be a problem for other people to modify this part in the future.

I will write more about this hospital. However, what I would like to say here is that the system of a hospital with 120 beds is a complex and huge system that cannot be covered by a single system manager with no subordinates.

The following information was used as a reference in writing this article.