千葉県鴨川市は、50代の男性職員が他の職員のアカウントを使用して、合計1300人を超える個人情報や人事情報に不正アクセスしていたと発表しました。事件の対象には、市民382人の個人情報および、市職員903人分の住所や健診記録、人事異動希望などが含まれています。
不正アクセスの概要
この職員は、かつて水道課の主査を務めており、2022年4月から2023年10月にかけて、自身の所属する部署とは関係のない5つの課の業務システムに、他の職員のアカウント情報を使って複数回アクセスしていたことが明らかになりました。
さらに、その際に取得した情報を業務用パソコンおよび私物のUSBメモリに保存していたことも確認されており、セキュリティ管理上の重大な問題が浮き彫りとなっています。
不正に取得された情報の中には、鴨川市が主催するイベントに関連する市民情報や、職員の健康診断記録、異動希望に関する情報など、極めて私的で機微な内容が含まれていたことから、情報漏えいのリスクが高い状況でした。
ただし、市によると、現時点ではこれらの情報が外部に流出・悪用された形跡は確認されていないとしています。
この男性職員は市の聞き取りに対し、「過去に関わった業務に関する情報を手元に残しておきたかった」「昇進を伴わない異動が何度かあり、不満や不安があったため人事情報を確認した」と説明しているとのことです。
市はこの行為について、明確な内部規律違反であり、今後処分を検討するとしています。また、佐々木久之市長は記者会見で、「市民の信頼を裏切る行為であり、深くお詫び申し上げます。今後は情報管理体制を強化し、再発防止に努める」と述べました。
今回の事件は、行政機関における内部不正の危険性と、職員による情報アクセス管理の脆弱さを改めて浮き彫りにしています。アカウントの貸し借りや共有、パスワード管理の徹底、端末の持ち出し制限など、実効性のある運用レベルでの統制強化が急務です。
再発防止に向けた実効的な対策
今回のような内部不正を防ぐためには、技術的・運用的な対策を組み合わせて実施する必要があります。
アカウント管理の徹底
- 職員1人ひとりに固有のアカウントを付与し、他人との共有や使い回しを禁止
- アカウントの利用履歴(ログイン・操作記録)を定期的に監査
権限設定の最小化
- 所属部署や業務に応じて閲覧・操作できる範囲を最小限に制限
- 異動時には速やかにアクセス権限を見直す
USBメモリなど外部記録媒体の使用制限
- 業務用PCからの私物USBへの接続を原則禁止
- シャドーITを検知するシステムの導入
- データの持ち出しは申請制・承認制とする
内部通報制度と教育の強化
- 不正を早期に発見するための匿名通報窓口を整備
- 情報セキュリティ研修で、内部不正のリスクと責任を全職員に啓発
一部参照
関連記事
熊本県八代市の職員による個人情報の不正閲覧、元職員は退職済みの為処分できず
「思い出として持ち出した」元工場長が自動車部品 製造データを不正に持ち出し 逮捕
岩手県の高校生、他人名義で回線契約し「投げ銭」で逮捕
宮崎県小林市の職員が友人の個人情報を盗み見て懲戒解雇
東急リバブル 元従業員が転職先へデータを不正持ち出し 一部へダイレクトメールを送付
株式会社これからが退職した元従業員による情報の不正な持ち出しを発表
熊本県阿蘇市の職員が停職3か月の懲戒処分「複雑な家系図を作成したかった」為 戸籍管理情報へ不正アクセス
高知市26歳消防職員が関係者専用サイトをスマホで撮影し、個人情報漏えい
Twitter(X)のユーザー 28億件分の情報漏洩の可能性-元従業員による内部犯行か