兵庫県・尼崎市の全市民の個人情報が入ったUSBメモリが紛失した問題で、実際にUSBメモリを紛失したのは「再委託先の社員」ではなく「再々委託先の社員」であったことがわかりました(尼崎の市民情報入りUSB 紛失したのは再々委託先と訂正: 日本経済新聞)。
尼崎市から業務委託された情報サービス会社「BIPROGY」(旧日本ユニシス)が、説明を訂正したことから明らかなった情報で、再々委託先の社名については個人の特定を避けるために伏せられています。
USBメモリの紛失から発見に至るタイムスケジュールは以下の通りです。
- 再々委託先の社員が許可を得ずデータをUSBに複製して持ち出す。
- 21日。大阪府吹田市内の居酒屋で約3時間飲酒。酔って記憶をなくして路上に眠り込む。
- 22日未明。USBメモリが入ったカバンの紛失に気づき、大阪府警吹田署に遺失物届をだす。
- 24日。かばんが居酒屋から少し離れた吹田市のマンションの敷地内で見つかる。
発見されたUSBメモリのパスワードが変更されていたり、データの暗号化が解除されたりした痕跡はなかったとのこと。市は第三者委員会を設置し、原因究明や再発防止策の検討を進める予定です。
ITmediaによると、新型コロナウイルス対策の臨時特別給付金をめぐって、多くの自治体が業務の一部を外部業者に委託しているとのこと。市と業者間には両者だけが利用できるVPNのようなネットワークは存在せず、データ提供の際に使われるのは、やはりUSBメモリだとされています
ただしこの場合も、業者の専用システムは市役所内に置かれており、移し替え作業は市職員が行う事で安全が確保されているようです。