こんにちは。弁護士の浅見隆行です。
2022年6月に尼崎市民46万人分の個人情報を記録したUSBメモリを紛失した件について、2023年6月6日、尼崎市が、業務委託先のBIPROGY(旧、日本ユニシス)に2950万円の損害賠償を請求したところ、BIPROGYは、2023年6月29日までに、全額を支払いました。 ※2023/09/08一部修正
これは地方公共団体の事例ですが、業務委託先によって個人情報漏えいの被害を受けた場合の会社の危機管理としても学ぶことが多いケースです。
尼崎市のUSBメモリ紛失事件とは
まずは、尼崎市のUSBメモリ紛失事件の内容を振り返りましょう。
BIPROGYの第三者委員会の調査報告書の内容を要約すると以下のとおりです。
- 尼崎市は1970年代にはシステム構築業務などをBIPROGYに業務委託していた。紛失したUSBメモリに関する2022年の特別給付金に関する業務も、その流れでBIPROGYに委託された。
- 2000 年代初頭には尼崎市は委託業務の再委託を全面的に禁止し、 BIPROGY との間の業務委託契約書にも再委託の禁止を明記していた(本件当時は尼崎市の事前承認があれば再委託可能と修正されていた)。
- BIPROGYは2020 年 4 月頃から、尼崎市の承諾を得ずに、特別給付金に関するシステム改修業務をアイフロントに再委託し、アイフロントはY社に再々委託していた。
- 特別給付金に関するコールセンターは2020年までは尼崎市市政情報センターに設置されていたが、BIPROGYは2021年から大阪府吹田市の江坂に設置した。ネットワークから遮断されていたので、コールセンター業務に必要な全市民の情報を搬送するためにUSBメモリが使用された。2021年には尼崎市の担当者が2本のUSBメモリでデータを搬送した。
- 2022年6月21日17時頃、再々委託先の従業員Aは、市政情報センターでコールセンター業務のデータの更新に必要な全市民の情報を保存し、電車で移動。19時30分頃、江坂のコールセンターで更新作業を終えた。USBメモリからデータを削除することなく鞄の内ポケットに収納した。
- その後、Aは同僚らに誘われ22時30分頃まで4名で飲食し、帰宅途中にあったマンション建物内で寝てしまい、夜中3時頃に目覚めると鞄を置いたまま徒歩で帰宅した。
- Aは22日9時頃に鞄がないことに気付いた後、交番に紛失届を出したが、会社に報告することなく自力で鞄を探したが見つからなかったため、14時頃市政情報センター常駐社員に報告。常駐社員はBIPROGYに報告し、BIPROGYは16時頃までに尼崎市に報告した。
- 鞄は24日に元の状態のままマンション内で発見された。
情報セキュリティの観点からの問題点
情報セキュリティの観点からこの事例を整理すると、要約部分だけからも、次のような問題点を挙げられます。
- 取引が50年近く続いている
- 尼崎市に無断で再委託、再々委託していた
- コールセンターを尼崎市から離れた大阪府吹田市江坂に移設した
- データの運搬のためにUSBメモリを使用している
- USBメモリを尼崎市の担当者ではなく再々委託先の従業員が運搬した
- データの更新作業が終わった後にデータをUSBメモリから削除しなかった
- 個人情報が記録されたUSBメモリを持ったまま飲みに行った
- 帰宅できなくなるほど飲み過ぎた
- 酩酊した状態でタクシーを使わずに徒歩で帰宅した
- 鞄を紛失したことに気付いた後にすぐに会社・尼崎市に報告しなかった
今回は情報セキュリティに主眼を置いた投稿ではないので、問題点を指摘するに留めます。
BIPROGYの組織的不正、組織的コンプライアンス意識の欠如
情報セキュリティの問題点のひとつに、BIPROGYが尼崎市に無断で再委託、再々委託していた点があります。
尼崎市の調査委員会の調査報告書によると、以下のとおりで、BIPROGYが再々委託していることが尼崎市にバレないように組織的に行動していたことがわかります。
組織としてコンプライアンス意識が欠けている印象を受けます。
本年6月 22 日未明に USB メモリ 2 本を後に紛失した A が尼崎市の非課税世帯への臨時特別給付金対応の業務委託事業の会合に最初に出席したのは、今年2月頃であった。この会合の冒頭で、市職員 2 名と B 社従業員 2 名は自己紹介と名刺交換をした。B 社側で出席した A は、自分が B 社の再々委託先従業員であることを市側に明かすことができず、今日は名刺を持ってきていない、と述べて、市職員との名刺交換をしなかった。A は、市から B社の従業員かと質問されても、再委託先・再々委託先の従業員であるとは言うなと上司から長年指導を受けてきたため、このときも言わなかった。この会合に出席した市職員 2 名は、A が初めて会う人であった。A は、B 社と別会社の従業員であるとは自己紹介せず、会合に一緒に出席した B 社職員 2 名も、A を別会社の従業員であると紹介しなかった。そのため、A は、この会合に出席した市職員2名は、自分を B 社従業員と誤解したと感じた。A はこのとき以降もこれ以前も、自身が B 社とは別会社(再々委託先)の従業員であると尼崎市職員に打ち明けたことは一度もなかった。
尼崎市調査委員会「調査報告書」3ページ
B 社執務室内で稼働する無断再委託先従業員や無断再々委託先従業員が使用するメールアドレスも B 社のメールアドレスであった。B 社はこれらの者に対し、B 社のメールアカウントを付与し、当該メールアカウントを使うように無断再委託先・再々委託先従業員らに指示し、尼崎市職員との間でメールをやり取りさせていたため、市職員からは、無断再委託先従業員のメールも、無断再々委託先従業員のメールも、B 社従業員からのメールに見える内容となっていた。B 社執務室の管理責任者である B 社従業員も、同執務室内で稼働する再委託先ないし再々委託先の従業員らに対し、B 社のメールアカウント(@の右側が B 社ドメイン名で、@の左側が英語表記した本人の名前)を使用させていた
(中略)
B 社のメールアカウントを使うよう指示しただけでなく、尼崎市職員宛てに送信するメールの本文に「ユニシスの〇〇です」「日本ユニシスの〇〇です」「BIPROGY の〇〇です」とまで無断再委託先従業員、無断再々委託先従業員らに名乗らせていた
尼崎市調査委員会「調査報告書」30、31ページ
BIPROGYの第三者委員会の調査報告書では、無断での再委託、再々委託のほかにも、バックデートなどコンプライアンス意識が欠如している事例、個人情報の取扱いに関するセキュリティリスク意識の欠如なども指摘されています。
尼崎市の危機管理
尼崎市の危機管理対応はどのようなものだったでしょうか。広報対応、その後の調査を踏まえた対応について振り返ってみます。
危機管理広報の徹底
尼崎市は、2022年6月23日にBIPROGYから報告を受けると、当日中に事実を公表しました。
また、公式サイトに個人情報を含むUSBメモリの紛失事案と題する専用ページを作り、その後も情報を集約しています。
全市民46万人分の個人情報が漏えいした可能性があるという事案の重大性に照らして、非常に迅速で的確な危機管理広報だったように思います。
重大な不正・不祥事が発生し、かつ、長期化が見込まれるときに専用ページを作ることは、情報を積極的に公開していく姿勢が見えて信頼の回復に繋がります。
時々、リリースがどこにあるのかわからないくらい公式サイトの深い階層に設けられていたりする会社がありますが、信頼回復にはほど遠いなと感じます。
BIPROGYの危機管理広報の拙さ
これに対して、BIPROGYの公式サイトには、尼崎市の個人情報を漏えいした可能性があることについての専用ページは設けられていません。
「ニュース」を遡っていくと2022年7月に第三者委員会の設置、11月に第三者委員会の調査報告書についてのリリースがあり、「お知らせ」を遡っていくと、2022年6月にお詫びなど、9月に個人情報保護委員会からの指導のリリースが載っています。
BIPROGYに限った話しではありませんが、公式サイトで「ニュース」と「お知らせ」をどういう基準で使い分けているのかわかりにくい会社が目立ちます。
おそらく証券取引所向けの開示か否かで使い分けているのでしょう。
しかし、危機管理の場面では、証券取引所向けの開示と危機管理広報とを別枠にしないことが重要です。
開示はあくまでも投資家・株主に株価に影響する事情が発生したことを知らせるもの、危機管理広報は信頼を回復するために世の中に広く知らせるもので、目的が違います。
危機管理広報のセミナーでずっと話しているのですが、まだまだ浸透しないので残念です。
開示したら危機管理広報しなくて済むわけでありません。内容が同じでも、見る人が見つけやすいように同じ場所に情報を出すことが求められます。専用ページを作る目的はそこにあります。
例えば、2018年に発生した神戸製鋼の品質不適切事案の専用ページや、2021年に発生した三菱電機の品質不適切事案の専用ページは、どちらも一つのページに「調査報告書」「発表情報一覧」などがわかりやすく整理されています。
単発のリリースで終わるならあえて専用ページを作る必要はありませんが、長期化する事案では専用ページや、各ページに同じタグを付けて検索しやすいように工夫するなどをすることが親切です。
調査委員会の設置と調査報告書受領後の対応、損害賠償請求
尼崎市は、7月1日には調査委員会を設置したことを公表し、11月28日に調査報告書を受領すると、同日、その後の対応についても公表しています。
2022年11月28日付公表に「本件事案により生じた有形無形の損害については、今後調査報告書の内容を十分に精査したうえで、B 社に対して損害賠償請求を行います」と記した結果が、今回の2950万円の損害賠償請求です。
地方公共団体なので、損害を放置したとしても、当たり前ですが市長が「株主」による代表訴訟で訴えられることはありません。
しかし、地方自治法242条1項は、「普通地方公共団体の住民は、当該普通地方公共団体の長・・について・・不当に・・財産の管理を怠る事実があると認めるとき」に、「当該怠る事実を改め・・又は怠る事実によつて当該普通地方公共団体の被った損害を補塡するために必要な措置を講」じるように求めることができる住民監査請求を認めています。さらに、住民訴訟ができます(地方自治法242条の2)。
すなわち、尼崎市長がBIPROGYに損害賠償請求をしなかったとしたら、不当に損害を放置したことを理由に、市からBIPROGYに損害賠償を請求するように求めることができます。
また、市長が尼崎市に損害を賠償せよなどと「損害を補填するための必要な措置」を求めることも解釈としては成り立つのではないかと思います。
その意味で、調査委員会の調査報告書の結果を受けて、BIPROGYに対して損害賠償を請求することは適切な危機管理対応(経営判断と言っていいかはわかりませんが)だと思います。
地方公共団体でも委託先が個人情報を漏えいしたときには損害賠償請求する前例ができたので、会社の業務委託先が個人情報の漏えいをしたときには、取締役・取締役会は同様の損害賠償請求をすることが今まで以上に求められるようになるのではないかと思います。
まとめ
尼崎市の危機管理は非常によくできていると思います。今後の推移が気になるところです。
