宮城県の職員が管理者IDで不正アクセス、人事情報や会話の内容を閲覧した職員5人を処分|セキュリティニュース

投稿日時: 2025年03月31日更新日時: 2025年03月31日

2025年3月、宮城県において、複数の職員が業務用情報共有ツールに不正アクセスし、人事情報や業務会話を不正閲覧していた事実が発覚しました。5名の職員が懲戒処分を受ける事態となり、県は住民に対して謝罪しました。

管理者権限を悪用した不正アクセス

宮城県によると、処分を受けたのは20代から40代の職員5人で、本庁および地方機関に勤務していた人物です。彼らは、職務上知り得た情報共有ツール「チャットラック」の管理者IDとパスワードを使い、業務とは無関係な人事情報や会話ログを不正に閲覧していました。

不正行為は約2年半にわたり継続され、最終的には380件を超えるファイルがダウンロードされたとのことです。県の行政管理室に「会話内容が見られているのではないか」との申告をきっかけに調査が行われ、不正が発覚しました。

管理者アカウントのID・パスワードが業務内で使い回され、アクセス制御が実質的に機能していなかったことが明らかです。これは、最も基本的な「最小権限の原則」に反しており、組織的なセキュリティ管理の欠如を示しています。

2年半という長期にわたって不正が継続されていたにもかかわらず、監査ログの確認や異常検知が行われていなかったことも大きな問題です。アクセスログの取得・保存・分析をルーチン化していれば、早期の発見が可能だったと考えられます。

「チャットラック」が適切にセキュリティ設計されていたとしても、運用ポリシーやアクセス管理の実装が甘ければ意味がありません。情報共有ツールの選定・設定・管理運用において、情報システム部門が統制を持っていたのかどうかも問われるべき点です。

管理者IDを悪用したり共有し情報が漏洩した疑似のセキュリティインシデント事例は以下です。

2025年2月、読売新聞によると調布市の行政資料用のクラウドへ共産党市議団の元市議の男性(73歳)が不正ログインを行っていました。なお、同市の日本共産党所属田村ゆう子市議がこの男性へIDとパスワードを共有しており議会が詳細を調査しています。

2022年度：2人の職員（現職の市職員と元会計年度任用職員）が、市の行政システムを利用して、業務外の目的で1人の市民の個人情報を閲覧。不正閲覧された可能性を察知した当該市民が、情報公開請求を実施。

市の調査で、2人が市の行政システムにアクセスし、個人情報を閲覧した記録が確認されました。なお元職員は退職済みの為処分されていません。

主事職級職員（20歳代・男性）は、人事異動後に管理者権限のアカウントを不正に使用し、サーバ内の共有フォルダへ93日にわたり不正アクセスを実施。

業務に無関係な人事情報や職員情報を興味本位で閲覧していました。

参照