自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

とはいえ、メール誤送信は人的ミスなどによって起きることから、自治体などにおいても今のところほとんど減少には転じていない。

例えば2021年1月、福岡県で新型コロナウイルス感染症陽性者に関する約9500人分の個人情報を外部に誤送信するという事案が発生した。2024年2月には、大阪市福祉局で障害福祉サービス事業所宛ての事務連絡をメール送信する際、7468人分の個人情報が記載されたファイルを誤って送信してしまう事故も起きている。

メール誤送信は、普段から当たり前のものとして利用するわれわれ自身がメールそのものに対する意識を変えていかなければ解決の兆しは見えない。しつこいぐらいの送信前確認や管理者による送信承認を必要とする仕組みの導入も、効率面だけでなくプライバシーの面からもよい解決策とは言えない。それぐらい根深い問題である。

HDD流出で注目された｢データ消去｣の観点

もう1つ、取り上げておくべき事案がある。2019年に起きた、神奈川県が行政データを保存していたHDDの不正転売だ。県民の納税記録などの個人情報が含まれた54テラバイトという膨大なデータが格納されたHDDが、ネットオークションで販売されていた。

一般的に、政府や自治体などの公的機関では、通常業務に利用するPCはリース業者との契約により導入されている。神奈川県の事案では、期間満了に伴いリース業者にPCを返却した後、廃棄業者の社員が不正にPCのHDDを抜き取り転売していたのである。

神奈川県はHDDのフォーマットを実施していたようであるが、簡易的フォーマットのみで容易に復元できる状態にあったという。また、そもそも法人におけるPC廃棄手順では、産業廃棄物管理表、いわゆるマニフェスト制度に応じて排出者が最終処分まで管理することが義務付けられているが、神奈川県は廃棄証明書を取っていなかった。

この事案を踏まえ、総務省は2020年12月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定を行った。

主に、情報資産の廃棄やリース返却を行う者は「情報を記録する電磁的記録媒体が不要になった場合、その情報の機密性に応じて復元できないように処置しなければならない」「その処理について日時、担当者、処理内容を記録しなければならない」「情報セキュリティ管理者の許可を得なければならない」といった内容が明記された。自治体も、情報機器のゆりかごから墓場までを意識しなければいけない土壌が出来始めたのである。