6月23日、兵庫県尼崎市は全市民約46万人分の個人情報が入ったUSBメモリーを紛失したと発表しました。名前や住所、生年月日、住民税額や、児童手当と生活保護の受給世帯の口座情報などが含まれています。尼崎市のWEBサイトでは「住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について」としてすぐさま「概要及び経緯」「個人情報の内容」「原因」「今後の対応について」を整理して掲載し、市民からの問い合わせ窓口も一本化しました。マスコミは46万人もの市民の個人情報が入ったUSBメモリーが紛失したことですぐに大きな被害が出るかのごとく大騒ぎをし、あおり立てます。尼崎市のサイト上での発表も「飲食店に立ち寄り食事を済ませた後の帰宅時に当該USBメモリーを入れたかばんの紛失が判明」としていたので、盗難に遭った可能性も考えられました。が翌24日にあっけなく見つかりました。紛失した担当者が警察官と記憶をたどりながらさがしたところ、吹田市内のマンションの敷地内でUSBメモリーの入ったかばんを見つけたということです。この段階では外部への漏洩は確認できていないようです。今回の一件を受けて、個人情報やデータの取り扱い方法や情報セキュリティのあり方について様々な問題点が指摘されています。「問い合わせに対応するため」に必要な作業だったのか?そもそも、今回のデータ移管作業は必要だったのでしょうか?今はリレーショナルデータベース(RDB)を使ってデータ管理をするのが一般的です。個人情報はバラバラのデータ群として保管して、会員ナンバーや個人IDに紐付けて必要な情報を呼び出すようになっています。尼崎市が発表した「個人情報の内容」を見ると、情報管理システムはRDBで構築されているようです。しかし、今回データ移管に踏み切った目的は、「コロナ禍による住民税非課税世帯への臨時特別給付金(1世帯10万円)を支給するにあたり、専用コールセンターに市民から問い合わせがあった際に、支給対象者かどうかを確認できるようにするため」とのことです。専用コールセンター(常設ではないでしょう)では、対象者が誰かがわかるリストがあり、素早く検索できるデータシステムがあれば良かったと思われます。最初からそこだけ抜き出した簡便で作業性の良い、検索にも対応したシステム(表計算ソフトでも作成可)、あるいは対象者にフラグが立ったID情報だけを情報管理システムに移せば事足りたかもしれません。本当に全データを移管する必要があり、移管作業をするとなればそれなりの移行手順や個人情報の扱いについて十分な調整と確認・許可が必要になっていたはずです。CRO不在がそもそもの原因尼崎市は今回の目的に必要な作業内容を確認していたのでしょうか? いつどのような作業をするのかを事前に確認していなかったということが一番の問題の始まりです。市がデータ移管に立ち会わなかったのが問題だとする報道が見受けられますが、それ以前の問題です。作業を請け負った情報システム会社BIPROGY(ビプロジー・旧日本ユニシス)も「データを運ぶ具体的な手段について市に事前に許可を得ていなかった」と認めていますが、何のためにどのデータを移すかの確認が取れていたのかも疑問です。市は今後「委託先には電子記録媒体を持ち出す際には市の許可を得て万全な情報セキュリティ対策を施したうえで実施するよう求めるとともに、個人情報の重要性を改めて周知し、危機意識を高めるなど信頼回復に全力を尽くします」としていますが、いかにもその場しのぎの釈明です。CRO(Chief Risk Officer)不在であることを表明したようなものです。事故でも故意でも情報が流出すれば今回の尼崎市の事例では、データが入ったUSBメモリーを紛失したことから様々な問題が指摘されています。USBメモリーは無事に戻りましたが、持ち出したのが悪意ある人物であれば更にコピーをして、様々な形でデータを加工し、所得別や家族構成別、年齢別などに細分化しターゲティングデータとして販売することも可能でした。少し古い話にはなりますが、ジャパネットたかた(当時)やベネッセコーポレーションで会員情報が漏れたのも、従業員や業務委託先の従業員によるものでいずれも金銭目的の意図的な犯行でした。そして偶然にもジャパネットたかたの顧客情報流出事件でも、日本ユニシス(現BIPROGY)が情報の管理者でした。持ち出して活用することが可能な形でデータが保管されていれば、故意だろうが事故だろうが流出して悪用される可能性は常にあるのです。USBメモリーにはパスワードが設定され、暗号化処理されていたということですが、記者会見の場で市の職員がパスワードの桁数について言及し、さらにネットをザワつかせることになりました。この一件からも、情報の取り扱いやサーバーセキュリティについての意識・知見が乏しいことがわかります。しかし、情報処理の専門家でなくてもリスクマネジメントの少し高い視点から見ることができれば、何処をチェックし、何をすべきでないかは自ずとわかるはずです。行政機関だけでなく一般企業においても全てを自社内で完結することは難しいし、それぞれの業務に精通した専門家やベテランを配置することは不可能です。コストパフォーマンス、作業効率の面からも仕事の分業・分散、あるいは委託するのは当然です。それを前提として、CROの存在が重要になるのです。