1.尼崎市で全市民46万人分の個人情報漏洩事故
報道などによると、兵庫県尼崎市は、すべての市民約46万人分の個人情報の入ったUSBメモリを紛失したことを発表したとのことです。
・全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表|NHKニュース
・住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について|尼崎市
・兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び|BIPROGY株式会社
報道や尼崎市サイトのプレスリリースによると、USBメモリには、すべての市民約46万人分の住民基本台帳統一コード・氏名・住所・生年月日・性別などのほか、住民税の額、生活保護の受給に関するデータなど機微な個人データも含まれていたとのことです。USBメモリは、新型コロナのための生活困窮世帯への臨時特別給付金の支給を尼崎市が委託した業者(BIPROGY株式会社(旧日本ユニシス))が紛失したとのことです。このUSBメモリは、業者が市の許可を得ずに個人情報を入れて持ち出し、大阪のコールセンターで個人データの移管作業を行った後、作業の終了後も個人データの消去を行わず、担当者が当該USBメモリを持ったまま飲食店で酒を飲み、当該USBメモリの入ったかばんを紛失したとのことです。これはUSBメモリの紛失や酒を飲んでかばんを紛失など、典型的な個人情報漏洩事故ですが、その被害が全市民約46万人分ということで驚いてしまいます。
2.尼崎市個人情報保護条例から考える
尼崎市個人情報保護条例をみると、第6条は尼崎市の行政部局(実施機関)は「保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」として、いわゆる安全確保措置を講じなければならないことを義務付けています。また第7条は、尼崎市の役職員に対しても、業務上知り得た個人情報をみだりに他人に知らせてはならないなどの守秘義務を課しています。
さらに、おそらく尼崎市は同条例8条2項5号の「本人以外の者に保有個人情報を提供することが明らかに本人の利益になることが認められるとき」などの条項をもとに、本件の臨時特別給付金の支給業務を外部の民間業者に業務委託したものと思われます。
しかしこの場合にも同条例9条は、市の実施機関は外部業者などに個人情報に関する業務を委託する場合には、「当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求め」るなどの安全管理措置を講じなければならないと義務付けています。
この点、本件の尼崎市の個人情報漏洩事件は、報道などによると、①業者が市の許可を得ずUSBメモリで個人情報を持ち運んだこと、②業者の担当者は作業の終了後も個人データを消去せず、当該USBメモリをかばんに入れて飲食店で酒を飲み当該かばんとUSBメモリを紛失したこと、③尼崎市も当該業者の給付金業務の委託にあたり、漫然と全46万人分の住民基本台帳ネットのすべての個人データにアクセス可能な状況におき、すべての個人データをUSBメモリに入れて持ち出しを許していることなど、外部業者の安全管理措置違反(個人情報保護法23条)だけでなく、尼崎市の安全確保措置違反の責任は非常に重大です(尼崎市個人情報保護条例6条、7条、9条)。
IPA(独立行政法人情報処理推進機構)の公表している「情報セキュリティ10大脅威 2022」においては、「情報セキュリティ10大脅威(組織)」のなかの5番目にUSBメモリなどによる個人データの不正な持ち出しなどは例示されているとおり(44頁)、USBメモリなどによる個人データの不正な持ち出しは個人情報漏洩事故の典型的な事例ですが、公的機関として多くの個人データを預かる尼崎市の責任は重大であると思われます。
・情報セキュリティ10大脅威2022|IPA
尼崎市個人情報保護条例
(安全確保の措置)
第6条
実施機関(実施機関が個人情報を取り扱う事務(以下「個人情報取扱事務」という。)を実施機関以外のものに行わせる場合にあっては、当該個人情報取扱事務を行うものを含む。)は、保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。
(従事者の義務)
第7条
個人情報取扱事務に従事する実施機関の職員又は職員であった者(前条に規定する場合にあっては、その個人情報取扱事務に従事している者又は従事していた者(以下「個人情報取扱事務従事者」という。)を含む。)は、その事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。
(保有個人情報の提供を受ける者に対する措置要求)
第9条
実施機関は、第8条第2項第3号から第6号までに掲げる事由のいずれかに該当することを理由に保有個人情報を提供する場合において、必要があると認めるときは、当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。
3.損害賠償責任など
個人情報保護法制による行政法上の責任とは別に、今回被害にあった住民の方々に対しては尼崎市と委託を受けた業者は民事上の損害賠償責任を負うことになります。住民基本台帳ネットワークの業務を自治体から再々受託を受けた業者の従業員が住民票データを漏洩させた事件について、裁判所は不法行為に基づく損害賠償責任(原告一人につき1万5千円)を自治体に認めています(宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、宍戸常寿『新・判例ハンドブック 情報法』199頁)。
4.住基ネット訴訟・マイナンバー訴訟との関係
また、本個人情報漏洩事件は、自治体の保有する住基ネットの個人データから全住民の個人データが漏洩してしまったという点で、現在各地で係争されているマイナンバー訴訟に影響を与える可能性があります。
マイナンバー訴訟に先立つ、いわゆる住基ネット訴訟においては、住基ネットによる住民・国民の個人情報の収集・管理・利用は憲法13条が保障する個人の私生活上の自由などプライバシー権の侵害にあたるか否かが争点となりましたが、最高裁は、①住基ネットに保管される個人情報は氏名・住所など秘匿性が高い情報とはいえないこと、②情報システムの構築など情報セキュリティ上も法律上も住基ネットは適切な安全管理が施されていると審査を行い(構造審査)、国民・個人の私生活上の自由を侵害しているとはいえない、として原告側の訴えを退けています(最高裁第一小法廷平成20年3月6日判決、宍戸・前掲200頁、山本龍彦・横大道聡『憲法学の現在地』139頁)。
しかしこの住基ネット訴訟の最高裁判決では、最高裁は住基ネットは情報セキュリティ的にそして法的に堅牢であることを根拠の一つとして合憲判決を出しているわけですが、今回の尼崎市の個人情報漏洩事件では、条例や法律が杜撰に運用され、情報セキュリティや安全管理措置も適正に運用されず、全市民46万件もの個人データの漏洩を許してしまっています。
とくに今回の漏洩事件では、全住民46万人分の住民基本台帳統一コードもその他の個人データとセットで漏洩してしまっています。住民基本台帳統一コードはマイナンバー制度のマイナンバー(個人番号)に似て、国民一人に一つの番号を国が付番する性質のものであり、この番号があると国民の個人データの名寄せ・突合が簡単にできてしまい、不正なプロファイリングや信用スコアリングの危険があります。この尼崎市の個人情報漏洩事件は、マイナンバー訴訟などにも影響する可能性があるのではないでしょうか。
5.令和3年改正個人情報保護法
なお、令和3年改正個人情報保護法は、自治体や行政機関等に対しても、個人情報漏洩事故が発生した場合は、当該自己を自治体や行政機関等は、個人情報保護委員会に報告しなければならないと規定しています(法68条、冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁)。おそらく尼崎市から警察とともに個人情報保護委員会に対しても、本件個人情報漏洩事故の報告が行われているものと思われます。
■追記
ITmediaニュースなどによると、記者会見中に尼崎市の担当者は、本事故で漏洩したUSBメモリにかかったパスワードの桁数をしゃべってしまったとのことです。これは情報セキュリティ的に二重三重に驚きです・・・。
・USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」|ITmediaニュース
■追記(6月24日)
尼崎市サイトによると、紛失していたUSBメモリが発見されたとのことです。
・紛失していたUSBメモリーの発見について(6月24日)|尼崎市
「現在、同メモリー内にある個人情報については、関係機関と協力しながら、調査を進めております。」とのことです。
このブログ記事が面白かったらブックマークやシェアをお願いします!
■参考文献
・冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・宍戸常寿『新・判例ハンドブック 情報法』199頁、200頁
■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?