内部犯行である事は発表されていましたが、弘前市の職員個人情報の漏えい事件は意外な所から情報が漏えいしていました。
mainichi.jp
流出した個人情報が、2018年に瓜田容疑者が当時所属していた市教委生涯学習課内で異動した際に引き継いだ業務用パソコンの中に残っていたものだったとみられることが捜査関係者への取材で分かった。
(毎日新聞記事より引用)
公式発表
キタきつねの所感
元職員逮捕の記事が出た際、普通の内部犯行だろうと思っていたのですが、ちょっと違いました。
参考:
弘前市が職員関与と判断したほぼ全ての職員情報流出についてまとめてみた - piyolog
追加記事は興味深いです。業務PC端末を引継いだ際に、PC中に本来秘匿にすべき個人情報を含むデータが入っていたという経緯の様です。
元職員が逮捕された際の記事を改めて読み返してみると、
「流出してよいのか」匿名でメール? 弘前市の情報漏洩:朝日新聞デジタル
流出したのは人事課の共有サーバーに保存されていたデータだが、瓜田容疑者は人事課に所属したことがなく、データにアクセスする権限もないという。県警は今後、データ入手の経緯や動機について詳しく調べる。
(朝日新聞記事より引用)
ここで今回の記事を読んで分かったのが、
・・・流出した個人情報が、2018年に瓜田容疑者が当時所属していた市教委生涯学習課内で異動した際に引き継いだ業務用パソコンの中に残っていたものだったとみられることが捜査関係者への取材で分かった。
捜査関係者などによると、流出した情報は市人事課が管理していたが、瓜田容疑者が引き継いだ業務用パソコンは人事課が使っていたものではなかったという。瓜田容疑者が人事課に在籍した経歴もなかった。
(毎日新聞記事より引用)
「市教育委員会生涯学習課」で使っていた端末は、人事課が(以前)使っていた端末ではなかった、事が分かります。
この事から、以下の2点が疑問点として挙げられます。
①前任者は何故、秘匿にすべきデータを自分の業務用パソコンに保存していたのでしょうか?
②前任者は何故、本来秘匿にすべき個人情報を含むデータが保存されている業務端末を、データを削除しないまま元職員に引き継いだのでしょうか?
続報記事が出る(出ない可能性も十分にありますが)までは答え合わせが出来ませんが、推測でモノを言うならば、弘前市では、悪く言えばルーズな、良く言えば田舎らしい「性善説」の役所内でのデータ運用だったのか思います。
本来人事課のサーバーで厳格に管理されるべきデータも、何かの用事で本来アクセス権の無い職員も利用可能であった(あるいは応援業務を依頼していた)のかも知れませんし、そもそも引き継いだPCに何か変なデータがあっても、引き継いだ職員が忖度して悪用しない・・・そんな「性善説」が前提の運用だった可能性を感じます。
昨年12月のブロードリンク社の事件では、多くの自治体(組織)が事前にデータ内容を消去せずに廃棄処理を依頼している事が明るみに出ました。この事件と同じ背景(よくある事)なのではないでしょうか。
ブロードリンクは内部犯行に無策であった - Fox on Security
日本では、古き良き「性善説」運用では回らなくなりつつある。この事件は改めてその事を感じさせます。
本日の結論:データはきちんと消去してから引継ぎましょう
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
