昨年12月15日(火)放送の「ひるおび!」(TBSテレビ)で大阪・堺市の約65万人分個人情報流出について取り上げていたのでまずご紹介します。
流出に係っていたのは、市の元職員、59歳の課長補佐でした。
堺市北区の選挙管理委員会に所属していた2006年から6年間、有権者の情報を自宅に無断で持ち帰り、民間のレンタルサーバーに保存していたといいます。
また、この元課長補佐は自ら作った選挙システムを民間企業などに売り込むためネット上で公開、有権者の個人情報も閲覧出来る状態になっていたといいます。
堺市は外部からの指摘を受けて、昨年7月から調査を始めました。
職場のパソコンやサーバーにファイルを消去した形跡があったため、業者に依頼して復元しました。
その結果、個人情報を含む15ファイルが昨年6月の2日間、閲覧されていたことが分かり、ダウンロードされていた可能性もあるといいます。
また、昨年6月20日と22日には、データが置かれていたレンタルサーバーに2つのIPアドレスから計26回のアクセスがあったことが確認されました。
堺市では、同一人物によるアクセスであるとみて、更に記録媒体にコピーされた可能性が高いとみています。
堺市は昨年12月14日付けでこの元課長補佐を懲戒免職し、地方公務員法違反容疑などで刑事告訴する方針です。
そして上司は戒告処分といいます。
なお、この元職員はJNNの取材に応じ、データの持ち出しは仕事で選挙システムを作るためで、上司も認識していたと話しました。
また、情報流出については、あくまでもミスだったと話しました。
堺市によると、外部に流出したのは、2011年11月の府知事選時の有権者データで、氏名、性別、生年月日、住所などのみならず、配偶者や恋人から暴力(DV)、ストーカー被害などを理由に住民票の閲覧制限を受けた人も含まれるといいます。
今回の流出事件は、自治体の情報流出としては過去最多といいます。
この事件後の会見で、竹山 修身堺市長は次のようにおっしゃっています。
「一職員の異常かつ無責任な行動からこのような事態が生じたものでございますが、組織としての責任も非常に大きく、私も組織の長として責任を痛感しているところでございます。」
以上、今回の大阪・堺市の大量個人情報流出事件についてご紹介してきましたが、プロジェクト管理の観点からみると、一言でいえば竹山市長のおっしゃっている通りだと思います。
こうした不祥事が起きてしまう要因は、大きく2つあります。
一つは不祥事を起こしてしまう本人の問題、もう一つは組織の問題です。
本人の問題としては次のようなことが挙げられます。
・金銭的に困っている
・上司や組織、あるいは社会に不満を持っている
・単純に社会を驚かせたい、あるいは目立ちたいという気持ちを持っている
・個人情報の扱いや情報漏えいに関する知識を持っていない
また、組織の問題としては次のようなことが挙げられます。
・経営層が性善説に立っており、不祥事の発生リスクを甘く考えている
・組織内の重要情報の漏えい、あるいは個人情報の流出による組織への影響度合いをきちんと把握していない
・組織として、所属者を個人として尊重していない
・個人情報の扱いや情報漏えいに関するしっかりした研修制度が確立されていない
・実効性のある情報漏えいの防止対策が実施されていない
なお、組織としていくら情報漏えいの防止対策を実施しても100%防げるような対策はほぼ不可能ですし、またそうした対策のためには大変な投資が必要になります。
特に、中小企業のような小さな組織の場合はなお更です。
ですから、万一情報が漏えいしてしまった場合にも適切な対応が出来るための対策、すなわちコンティンジェンシープランも日ごろから考えておくことも必要になります。
そこで、自治体や企業などどんな組織においても、普段から組織内部でのコミュニケーションを密にし、個人情報の扱いや情報漏えい防止の重要性を説き続けることが重要です。
一方では、一人一人の職員、あるいは社員の不満を把握し、その対応策を組織として出来る範囲内で一緒に検討するという姿勢も重要になります。
ということで、今回ご紹介した大阪・堺市の65万人分個人情報流出事件は、竹山市長自らも認められているように、個人、および組織の両方に問題があったと言わざるを得ません。
“覆水盆に返らず”ということわざにもあるように、一旦ネット上で拡散してしまった情報を全て削除することはまず不可能なのです。
そのことを肝に銘じて組織経営に当たられている方々は情報管理にしっかりと取り組むことが求められているのです。
このような状況では、今進められているマイナンバー制度の情報流出リスクも心配になります。
ですから、関係省庁には是非適切なコンティンジェンシープランを検討しておいていただきたいと思います。