岩手・釜石市で市民約3万人分全員の個人情報が漏えい 52
ストーリー by nagazou
なぜ? 部門より
なぜ? 部門より
岩手県釜石市で市民3万人全員の個人情報が漏えいしていたことが報じられている。職員2人が氏名や住所などの個人情報のデータを自宅のパソコンにメールで送るなどして持ち出していたという。野田武則市長がおこなった会見によれば、2人は共謀して2015年から今年4月までの間に氏名や住所、生年月日などが記載された住民基本台帳や業務上作成した表計算ソフトのデータを自宅PCなどに送るなどしていたという(IBC NEWS、NHK、岩手めんこいテレビ)。
これにより、住民基本台帳に記載されたおよそ3万2000人の個人情報、600人分のマイナンバー、世帯番号や収入が記載されたおよそ2万人分のデータが流出した。市はこの職員2人を26日付けで懲戒免職処分、2人を刑事告訴したと発表している。2人は「はっきりした理由はない。外部には漏らしていない」と話しているとしている。
これにより、住民基本台帳に記載されたおよそ3万2000人の個人情報、600人分のマイナンバー、世帯番号や収入が記載されたおよそ2万人分のデータが流出した。市はこの職員2人を26日付けで懲戒免職処分、2人を刑事告訴したと発表している。2人は「はっきりした理由はない。外部には漏らしていない」と話しているとしている。
再発防止する気なし (スコア:3, すばらしい洞察)
> 今後研修を強化するなどして再発防止を図る
こういうのじゃ防げないって。
Re: (スコア:0)
では、どうすれば防げるんだ?
システム的に制限設けたところで、こんなバカは頑張って漏らすよ。
となるとバカを減らす方策をとらないといけない。
Re: (スコア:0)
正職員が減りつづけてて今後も職場にバカが増えるよね
だからそれは無理
日本人てほんと性善説で制度設計やシステム設計するよね
性悪説で抑止しなきゃだめだよ
セキュリティとは (スコア:1)
どんなにセキュリティ強度が高いシステムを作成しても、結局最後は人間がセキュリティホールとなるのである。
人間が介在するかぎり、完璧なセキュリティはありえない。
# マイナンバーが漏れたというニュースは何件目で、何人分のマイナンバーが既に世に出回ってしまっているんだろう
Re: (スコア:0)
マイナンバーが漏れるより生年月日が漏れる方が実害はデカいと思うんだが
(他人のマイナンバーなんか分かっても、使い途あるか?)
マスコミ的には「マイナンバー流出」の方がキャッチーで目を引くんだろうな
Re:セキュリティとは (スコア:2)
マイナンバーより住所とか賞罰の記録とか病歴とか住所漏れたほうが嫌でしょ?って話はよく聞きますね。
行政としては機微な情報もマイナンバーに紐づける前提で厳し目にしたんだろうけど、それにしても。
Re: (スコア:0)
とりあえず違法確定だからなぁ
Re: (スコア:0)
>収入が記載された
私がマスコミならこっちを挙げる
Re: (スコア:0)
特定の個人を識別することができる記述 and/or 個人識別符号と一緒に
要配慮個人情報 and/or 利用されることにより財産的被害が生じるおそれがある記述
が漏れるのが嫌
はっきりした理由はない (スコア:0)
指示はありませんでしたとも言えず
忖度するしかありませんでしたとも言えず
持ち帰りしないとどうにもならないことについても語らず
木っ端役人の鑑ですな
# この先も尾っぽ切り懲戒免職出るんだろうなぁ
Re:はっきりした理由はない (スコア:2, 興味深い)
どこぞの業者に売ってたんじゃなければいいけどねぇ……。
Re:はっきりした理由はない (スコア:1)
「興味があった」「知り合いのを探して遊んでた」っていう証言が出てるぞ
Re:はっきりした理由はない (スコア:1)
IBCの記事内容では
> 去年9月に「業務時間中に大量のメールを送信している」といった内容の匿名の投書が市に寄せられ、調査で発覚しました。
となってるけど内部告発じゃないなら「外部には漏らしていない」と言われても疑わしいなぁ
Re:はっきりした理由はない (スコア:1)
通報者保護のため投書が寄せられたという事にしてると思う。
そんな大量のメールを送信してるなんて中の人じゃないとわからないでしょ。
まあ、個人情報の大量流出をみすみす見逃すような組織が内部通報者保護なんて言葉を知ってるとは思えないんだけどさ。
Re: (スコア:0)
まあぶっちゃけ、メール系のシステム担当者だよね……。
総務企画部が大量のメール送信してたところで、普通は「キャンペーンのDMかな?」としか思わない。
アーカイブを確認して気付いて、役員とかに相談したんじゃないかと。
Re: (スコア:0)
>普通は「キャンペーンのDMかな?」としか思わない。
市役所がどんなキャンペーンを行うというのでしょうか?
Re:はっきりした理由はない (スコア:1)
> 市役所がどんなキャンペーンを行うというのでしょうか?
医療費や介護保険料の還付金申請の案内とか(何
https://kurashi.yahoo.co.jp/iwate/03201/incidents/bouhan/163542 [yahoo.co.jp]
Re: (スコア:0)
>メール送信の回数はあわせて21回
たかだか3.2万人のデータで大量ってのも変だし回数もしれてる
内部告発なんだろうね
Re: (スコア:0)
匿名の人「はっきりした理由はないけどメール覗き見てたら役場っぽい場所から個人情報送ってるのがあって気になった」
Re: (スコア:0)
40代の役職者が……それも1人じゃなくて、2人で協力して? 7年間も?
男女2人というのも、何か邪推してしまう……。
Re: (スコア:0)
そもそもびっくりするほどの馬鹿じゃなきゃこんなことやらん
馬鹿の考えることを理解するのはムリ
Re: (スコア:0)
一人ならびっくりするほどのバカかもしれないとも思うけど
二人で男女となると邪推しちゃうのもわからないでもない
Re: (スコア:0)
上級者すぎるけど、それなら1人でもプレイできるような気もする。
どんなプレイか知らんけど。
男女二人で名簿を盗むというところから何が邪推できるんだろう?
Re: (スコア:0)
共同犯のような書き方になってるけど、主導したとみられる女性係長は住基台帳へのアクセス権がなく
直接の実行犯はアクセス権があった男性主査
邪推すれば女性係長から男性主査への依頼の見返り(穏当な表現)があったんでは、と。
Re: (スコア:0)
そんなこと楽しいのかねえ?
更に外部に漏らして現金化していたと考える方が自然だ。
よくわからない入金があったとか金遣いが荒くなっていたとかの切り口から調べるべき。
Re: (スコア:0)
>「興味があった」「知り合いのを探して遊んでた」
だけならこんな大量のデータはいらなくね?
Re: (スコア:0)
たとえ真実だったとしても、「仕事が多すぎて持ち帰らざるを得なかった」とは言えない世の中ですからねぇ・・・。
今回のが実際にどうなのかはわからないけど、業務過多によるミスは公には原因が分からなくなる。
個人情報のデータを自宅のパソコンにメールで送る (スコア:0)
という時点で、「外部には漏らしていない」というのは嘘だな
Linux使いのガチ勢ではないだろうから
どうせパソコンは Windows11/10 → Microsoftに自動的に送信
メールで → GMail → Google
ってことになるんだけど
人の流動が少ない地方だと (スコア:0)
2人は「はっきりした理由はない。外部には漏らしていない」と話しているとしている。
知合のあの人やあの人が今どうしてるとか、結婚したとか離婚したとか。
そういうのを眺めて一緒に酒を飲むとか?
しらんけど
Re: (スコア:0)
何の証拠もないのに死刑とか言う奴への死刑適用も議論すべきだな
# 一定量いる公務員フォビアは何なんじゃろ
Re:小遣い稼ぎ (スコア:1)
こまわり君とか?
Re: (スコア:0)
死刑は言い過ぎだが証拠はあるだろw
Re: (スコア:0)
悪用した証拠はないよ
いまんとこ意識が低すぎたアホなだけっぽい
Re: (スコア:0)
「チャットで滞納情報を他部署職員に漏洩していた」というのは悪用では?
Re: (スコア:0)
はい侮辱罪
Re: (スコア:0)
君は文脈とか話の流れとかを理解するオツムを身に着けようね。
Re: (スコア:0)
こういう悪意ある内部犯ってどうやって止めるの?
・粘り強い教育や研修+賞罰規定の周知→ある程度の抑止にはなるが技術的抑止とはならないため、故意犯には無力
・秘密情報はAIPなどのアクセス権管理技術で保護する→OfficeファイルならいいがCSVなどのRAWデータには掛けられない
・監視を強化してCASBやDLPサービスなどの技術で守る→対応しないアップロードサイトやVPN的なものは監視をすり抜ける場合があり、またファイル形式や記載内容によってはDLPでは捉えきれない
Re:小遣い稼ぎ (スコア:1)
今回の場合公務員なので、懲戒免職になった場合失うものを周知しておくとか。
・定年までのキャリアパスと給与
・退職金
・退職後の天下り先と給与(あれば)
・親族が受けられるコネなど(あれば)
# 後ろ2つは厳秘で情報漏洩に注意(笑)
「本人の信用」は周知しても無駄なんだろうか。
-- う~ん、バッドノウハウ?
Re: (スコア:0)
それらと秤に掛けても、個人情報大量に売りさばいて得た報酬が上回ったらどうすんべ
Re: (スコア:0)
「サーバー側のアクセスログを全部取る」
「データ側に不可視・編集不可のフィンガープリントを埋め込む」
でなんとかならんかな…
CSVファイルにどうやってフィンガープリント埋め込むかは実装側で工夫してくれ(逃げ
Re:小遣い稼ぎ (スコア:1)
> CSVファイルにどうやってフィンガープリント埋め込むかは実装側で工夫してくれ(逃げ
ステガノグラフィーとか電子透かしってやつですね。
通常は画像とか音楽に埋め込むものが多いですが、
Unicodeのゼロ幅文字を使って、テキストデータに埋め込む手法があるようです。
https://www.330k.info/software/plain-text-steganography-with-unicode/ [330k.info]
Re: (スコア:0)
サーバー側のアクセスログだけとってもどうかな
「サーバーから台帳データの一部をコピー→実務で利用→コピーは破棄」
のところを
「サーバーから台帳データの一部をコピー→実務で利用→コピーを更に自宅に送信」
てやったらわからんでしょ。メールを監視してもWebブラウザ経由で送信されたりするしね…
Re: (スコア:0)
その「コピー」にも消せないフィンガープリントを埋め込めないものか…
Re: (スコア:0)
チェックする人やルールがなければどんなログも無意味
Re: (スコア:0)
VDIとかシンクラとかで良いんじゃない?
Re: (スコア:0)
そんな簡単に死刑とか、こまわりくんじゃあるまいし...
Re: (スコア:0)
クロスボーンガンダムのカーティス・ロスコさんのように
「死刑…ムコ養子…死刑…ムコ養子…」
と花占いで決めるくらいの余裕は欲しいですね。
Re: (スコア:0)
そんなあなたの望みが行われている国が大陸方面にありますね.
帰化されてはいかがでしょう.
私はその程度では死刑にならないこの国に愛着がありますので,行きませんが.