[昔] 2022年6月22日 尼崎市の泥酔USB紛失事案で再びクローズアップされた「ベンダーロックイン」、一度契約すると他社への乗り換えが困難になり管理の目が次第に行き届かなくなる

2022年7月3日17時44分に読売新聞から、下記趣旨の記事がネット配信されていた。

兵庫県尼崎市の全市民の個人情報が入ったＵＳＢメモリーが一時紛失した問題で、情報システム会社「B社」（旧日本ユニシス）が、市の住民情報を管理するシステムを開発し、３０年以上関連業務を受託していたことがわかった。

特定業者によるＩＴ業務の囲い込みは「ベンダー・ロックイン」と呼ばれ、発注側のチェックの甘さにつながると指摘されており、市の第三者委員会が経緯を検証する。

市などによると、市はコロナ禍に伴う「臨時特別給付金」の業務をＢ社に委託。

同社の２次下請けにあたる会社の４０歳代の社員が６月２１日、全市民約４６万人分の個人情報をＵＳＢに移して市から持ち出し、大阪府吹田市で作業後に飲酒し、紛失した。

ＵＳＢは２４日、同市内で見つかった。

個人情報を持ち出したのは、同市のコールセンターで住民の問い合わせ対応に使うためで、尼崎市は持ち出し自体は許可していた。

しかし、日時や方法、持ち出す情報の中身を確認せず、Ｂ社が業務を再委託や再々委託していたことも把握していなかった。

同社は、３０年以上前から、市の住民の個人情報を管理するシステムの中核部分を開発し、更新や運用も随意契約で受注。

このほか、関連する業務も請け負っていた。

市は約５年前から同社への業務集中を解消するため、他社への切り替えを進めてきたが、住民情報などを扱う基盤システムに関する業務は「他社では困難」として、同社が担い続けているという。

市は、今回の臨時特別給付金の業務についても、迅速に給付する必要があるとして、基盤システムを扱い、２０年に国民１人あたり１０万円が支給された「特別定額給付金」の業務を、随意契約で委託していた同社に随意契約で発注していた。
契約金額は約３億５８００万円だった。

ＵＳＢを紛失した再々委託先の社員は、約２０年にわたって市のシステムに携わっていた。

市の担当者は数年ごとに異動するため、社員から仕事を教わることもあった。

また、社員は住民情報を管理するシステムのＩＤやパスワードも付与され、データを取り出せる立場だった。

紛失したＵＳＢに個人情報を移して持ち出す際も、市の担当者は立ち会っていなかった。

Ｂ社は、この社員を自社の社員だとして市に届け出ており、市も同社の社員だと認識していたという。

市にＩＴの専門知識がある職員が少なく、市幹部は「長年の契約で『慣れ』があった。業者任せと言われても仕方がない」と語った。

問題発覚後、市には苦情や問い合わせが３万３０００件以上寄せられている。

市は１日、情報セキュリティーの専門家らでつくる第三者委員会を設置。
今後、原因解明とともに再発防止策を検討する。

 

【９９％既存業者と再契約】

公正取引委員会は今年２月、「ベンダー・ロックイン」に関する初の実態調査結果を公表した。

調査は国や自治体約１８００機関を対象に実施され、回答があった約１０００機関の９８・９％がシステムの改修や更新時に既存業者と再契約したと回答。

理由として４８・３％が「業者しかシステムの詳細を把握できない」、２４・３％が「システムの権利が業者に帰属している」を挙げた。

立命館大の上原哲太郎教授（情報セキュリティー）は、「自治体の職員は頻繁に異動があり、ＩＴ知識も乏しいことが多く、業者に任せきりにすることがある。尼崎市と同様の問題は他の自治体でも起こりうる。しかし、住民の個人情報を守る責任があるのは自治体で、業者を適切に管理する必要がある。職員への研修を強化し、ＩＴ人材を育成するべきだ」と指摘している。

 

◆ベンダー・ロックイン

 特定の業者（ベンダー）の技術に依存したシステムを採用した結果、他の業者への乗り換えが困難になり、特定業者に依存せざるを得ない状態になること。
競争が働かずにコストが増す弊害があるとされる。

https://www.yomiuri.co.jp/national/20220703-OYT1T50073/

 

7月3日9時0分に毎日新聞からは、USBメモリー紛失前後の経緯や、他の市に比べ尼崎市の情報管理は甘いなど、下記趣旨の記事がネット配信されていた。

・・・

詳しい経緯はこうだ。

大阪府吹田市にあるＢ社のコールセンターで尼崎市民からの問い合わせに対応するため、2022年度分のデータを移す必要があった。

21日夕、男性が尼崎市役所近くの市政情報センターでUSBメモリーにデータを保存。
かばんでコールセンターへ運び、Ｂ社の社員ら4人でデータを更新した。

その後、男性はUSBメモリーをかばんに入れたまま、吹田市内の居酒屋で4人で飲酒。
泥酔して路上で寝込み、22日、かばんごとなくしたことに気付いて交番に届け出た。

24日午前、男性は警察官と周辺を捜索し、吹田市内のマンション敷地内でかばんを発見。

USBメモリーにかけられたパスワードが変更された形跡はなく、情報流出は確認されなかった。

 

【市の許可を得ず、複数の別会社に再委託】

ところが、問題はそれで終わりではなかった。

Ｂ社は当初、男性について、業務を再委託したIT関連会社「I社」（東京）の社員だと説明したが、26日にはI社が再々委託した別会社の社員だったと訂正。

市の許可を得ず、再委託していたことも判明した。

さらに、I社とは別の会社にも業務の一部を再委託し、少なくとも4社が業務に関係していた。

データ更新などの作業に専門技術が必要なためだというが、複雑な下請け構造を市は把握していなかった。

Ｂ社の担当者によると、男性は市のIT業務に長年関与。
「業務に習熟し、プロジェクトのリーダー的存在だった」と明かす。

男性は、市とＢ社が2月から週1回開いていた会議にほぼ出席。
市の担当者も「Ｂ社の人だと思っていた」と漏らす。

男性は同社に貸与された入退室管理カードで市政情報センターに出入りしていた。

Ｂ社は誓約書で、市の許可なくデータを複製しないと明記。
移し終えたデータは消去すると定めていたが、守っていなかった。

男性は市との会議で「データを更新する」と説明したが、「USBメモリーを使う」とは説明していなかったという。

市はデータの運搬方法を確認しなかったことが今回の事態を引き起こした原因の一つだと説明。

Ｂ社も「（持ち出しに）許可が必要なことを男性が知らなかった。弊社の責任だ」と謝罪し、第三者委員会を設置して再発防止策などを検討する。

他の自治体ではどのように管理しているのか。

神戸市は給付金に関するコールセンターを市役所近くに開設する際、業務を委託して個人情報のデータをUSBメモリーで移した。

ただ、個人情報の管理場所に委託業者は入れず、持ち出しは市の職員が複数で鍵のかかる箱に入れて運んだ。

 

【「外部持ち出し、考えられない」】

大阪市も業務の一部を外部委託し、全市民の個人情報を業者に提供している。

だが、データの移行作業などは市の職員が担当し、移行後は業者のネットワークシステムを使って外部からアクセスできるため、業者が市役所に足を運ぶ必要がない。

リスク管理のため、USBメモリーを使ったデータ移行はしていない。

担当者は「尼崎市のようにデータをUSBメモリーで外部に持ち出すことは考えられない」と話す。

神戸市や大阪市は、住民基本台帳のデータを使用する場合、個人情報条例に基づき、事前に外部有識者の審議会に諮るが、尼崎市の条例では事後報告で足りる点でも差がある。

尼崎市は情報管理に精通した担当者が今回の会議に出席しておらず、持ち出されたデータに全市民の個人情報が含まれていることを知らなかった。

相談ダイヤルの開設後、2日間で3万件以上の電話が寄せられており、原因の究明や再発防止が急務だ。

情報セキュリティーに詳しい国立情報学研究所客員教授の岡村久道弁護士によると、1999年に京都府宇治市で約21万人分の個人情報を委託業者が持ち出し、販売した件などをきっかけに、現在の個人情報保護法制が整備された。

岡村弁護士は、「20年以上たっても、自治体が委託先を監督するという『いろはのい』ができていない。法令があっても守られなければ意味がない」と指摘。

サイバーセキュリティー大手「トレンドマイクロ」のシニアスペシャリスト・鰆目さんは、「USBメモリーの紛失は、なかなかなくならない。人の努力には限界があるので、ミスを回避する運用・技術上の工夫が必要だ」と話す。

https://mainichi.jp/articles/20220702/k00/00m/040/193000c

 

7月5日18時12分にYAHOOニュース（文春オンライン）からは、市は再々委託だと知らなかったわけがないと関係者が証言したなど、下記趣旨の記事がネット配信されていた。

・・・

B社の在阪会社関係者X氏が「 週刊文春 」の取材に応じ、「『再委託されていることは知らなかった』という尼崎市の説明はウソです」と証言した。

・・・

路上で寝込んでしまったAさんは責任を感じて憔悴しきっているという。

・・・

27日、報道陣の囲み取材に応じた稲村市長は、 「再委託、再々委託は把握していませんでした。マネジメント不足、危機管理にもつながる。様々な観点から損害賠償請求を検討する」 と語気を強めた。 　

だが、前出のX氏は「事情はまったく異なる」と反論する。

「Aさんは20年も尼崎市に出入りしており、長年、市の担当者とも深い付き合いがありました。
にもかかわらず、Aさんの所属が“再々委託先”だったということを『把握していなかった』わけがありません。
確かに、今回の件は尼崎市に対して再委託の事前届はしていません。
ですが、これは裏を返せば、『そもそも、再委託はされていることを尼崎市の職員が当然認識していると考えていたから』という側面もあるのです。
20年近く行われた慣例で、市と業者で馴れ合いが起こってしまっていました」 　

・・・

現在配信中の「 週刊文春 電子版 」では、尼崎市と業者の間で暗黙の了解として行われていた“名刺交換ルール”、Aさんが過去に起こしていたもう一つの“紛失事件”、当事者たちの言い分などを詳しく報じている。

https://news.yahoo.co.jp/articles/e4d5ce4de22d655fbd7a35b7e9fc9ccf61e42f6d

 

2022年7月9日10時30分に朝日新聞からは、B社は18か月の指名停止になったなど、下記趣旨の記事がネット配信されていた。

市は8日、紛失した情報システム大手「B社」の入札参加を18カ月、停止することを決めた。

「市政に対する信頼を著しく失墜させる不誠実な行為」として、市は同社との事業契約を見直す。

同日開かれた市入札参加者審査会で決めた。

今年度契約した11件のうち、まだ事業が始まっていない2件は取り消す。

残り9件は、市民生活に影響のない範囲で別の業者に入れ替える。

https://www.asahi.com/articles/ASQ786VDZQ78PIHB015.html　

 

 

  

  

2022/07/10 (Sun) 【情報管理不備】　ﾊﾟｿｺﾝ・ﾒｰﾙ等 Comment(0)