今回は尼崎市のUSB紛失騒動について触れていこうと思います。
兵庫県尼崎市で全市民、約46万人の個人情報が入ったUSBが紛失してしまった炎上。
一時、メルカリで尼崎市のUSBが販売されていました。
結局、これはいたずらだったので削除されたようですが。(参考:https://youtu.be/8kHJ4NviV0w)
炎上した経緯もツッコミどころが多くて、
- 尼崎市に許可を得ず、USBを持ち出した。
- 重要物を持った状態で飲酒をして、路上で寝てしまう。
- 会見でパスワードの桁数をバラしてしまう。
といった不始末がありました。
ITエンジニアである私の価値基準で言わせていただくと、考えられないようなインシデントです。
自分一人のセキュリティカードを紛失しただけでも大きなインシデントなのに、
その46万倍の規模と考えるとヤヴァイ。
この件で、市は大きく信頼を損なう結果となりました。
このUSBを紛失した人は、20年のベテランらしいですが、正直リテラシーが低いと思いました。
IT系で働くと、セキュリティカートや業務情報等、重要な物を所持している時に、飲酒しないようにエンジニア間では良く言われます。
シンプルに一番効果的な対策だからです。
今回の騒動で思ったのが、ファイルのやり取りをするときにファイルサーバーを使うのが通常です。
もちろん、USBを使う場合も中にはあります。
たとえば、周辺のPCと通信できないように隔離されている(スタンドアローン)PCにファイルを持って来たい場合。
このスタンドアローンの場合は、ファイルサーバーが使えないので、USBでデータの授受を行うことがあります。
ただ、そう考えたとしても、通常は一つの部屋内で完結できるようになってます。
個人情報の取り扱いに関するルールを決めてなかったという報道がされていますが、
こういう部分に効いてくるのかなと思いました。
会見中にパスワード桁数を喋ってしまう失態がありましたが、
これに関しては、尼崎市の担当者はITに詳しく無いのかなと思いました。
今回の炎上騒動で役所が叩かれがちですが、正直な所、役所は対策しようが無いです。
民間企業でも公共系でも、自グループ内でシステムを作れないから、IT企業に委託している訳です。
なので、今回役所にITリテラシーが無いことは想像に難くないです。
客先常駐で実際の作業を請け負っているなら、指揮系統はIT会社内で成り立っていて、
役所は実際の作業に対して指示が出せない訳です。
(IT知識が無いという部分もあるでしょうし、派遣ではないのも理由)
IT系によくあるのが、システム開発が多重の下請け構造になっていることが多いです。
例えば、役所がクライアントで、システム開発の委託先として元請けのIT会社があり、元請けだけで足りない場合はその下に2次請け、3次請けと連なります。
なので委託先でインシデントを起こされると対策しようが無いです。
それでもインシデントを防ぐには、外部委託せずに全て自社内で開発していくことになりますが、
IT企業でない限りは、ほぼ不可能だと思います。
そうなってくると、今回の件で役所ができる現実的な対策は委託先を変える事くらいしか無いと思います。
