愛南町個人情報流出事件
愛南町個人情報流出事件(あいなんちょうこじんじょうほうりゅうしゅつじけん)とは、愛媛県南宇和郡愛南町にて2007年に明るみに出た、外注業者の不注意により個人情報が多量に流出した事故のこと。
概要
編集2007年5月、総務省から愛媛県を通じて愛南町に個人情報の流出が照会され、問題が判明した。平成の市町村合併に伴う電算データ統一作業の過程で、委託先のデンケン(愛媛県宇和島市)が納期遅れを恐れ、無断で山口電子計算センター(YCC社、山口県山口市)に再委託した。YCC社の北九州市の事業所に勤務していた元社員が作業を担当したが、作業終了後、データを後日の照会等に備えて自宅に持ち帰り、私物のパソコンにコピー保存した。その後、そのパソコンを夫(同じく情報処理会社社員)が使用し、ファイル交換ソフトのウィニーを利用していたところ、4月にウイルスに感染し、データが流出した。
町は事情説明のため、職員が手分けして全戸訪問し、委託会社であるデンケン社に対して損害賠償を請求した。デンケン社は再委託先であるYCC社に損害賠償を請求した。
流出したデータには、住所、氏名、生年月日などの住民基本台帳データや家賃の振替口座番号が含まれている。住民票コード(4000人以上が変更した)や口座番号は変更可能だが、氏名や生年月日などは変更できず、データ流出による被害に対しては、架空請求など身に覚えのない請求に注意する以外、具体的な対策がないため、町民は不安を抱えている。
その後、愛南町だけでなく、秋田県北秋田市、山口県山口市、福岡県嘉麻市、長崎県対馬市のデータも同様に流出していたことが判明した。
なお、デンケン社は宇和島自動車の関連会社である。
経過
編集- 2003年
- 4月21日 南宇和郡合併協議会が、合併に向けたデータ移行などの業務をデンケンに委託。納期は2004年9月30日。
- 2004年
- 7月 デンケンが工程遅れのため、業務完了保証人である日本電気(NEC)松山支店に支援協力を依頼。山口電子計算センター (YCC) を紹介される。
- 8月5日 デンケンが合併協議会の承諾を得ないまま、YCCに業務を再委託。
- 8月 デンケンがデータをCDにコピーし、YCC北九州事業所に郵送。その後、YCC社員が社有ノートパソコンにデータを保存。
- 10月1日 合併により愛南町が誕生。
- 11月15日 業務が完了し、引き渡しが行われる。
- 2005年
- 8月頃 YCC社員女性に対し、同社が社有ノートパソコンの返却を指示。女性は自宅のパソコンにデータを保存。
- 9月頃 YCC社員女性の夫が、自宅パソコンにファイル交換ソフト「ウィニー」をインストール。
- 2006年
- 3月 YCC社員女性がYCCを退職。
- 2007年
- 4月30日 元社員宅のパソコンがウイルスに感染し、情報がインターネット上に流出。
- 5月13日 NECが情報流出を発見。
- 5月14日 総務省が愛媛県を通じて愛南町に情報流出を連絡。
- 5月16日 愛南町が約4万2000件の情報流出を確認と発表。
- 5月18日 愛南町が流出情報は約14万3000件と追加発表し、その後、愛南町職員が総出で全戸訪問を開始し、事情説明と謝罪を行う。
- 8月13日 愛南町がデンケンに対応経費1453万円を請求し、同27日に支払いが行われる。
- 9月23日 デンケンがYCCに対して1522万円の損害賠償請求を提訴。
- 11月15日 YCCが争う姿勢を示す。
- 2009年
- 6月4日 山口地方裁判所で判決が下される。事件番号平成19(ワ)331、事件名 損害賠償請求事件
問題点
編集- 委託業者による無断業務再委託
- 町の再委託についてのチェック体制
- 電算処理会社への委託、再委託ルールが不明確
- 情報処理事業者の従業員であり、情報管理に最も厳格なはずの社員がルールを無視してデータを持ち出したこと。
- 委託会社のチェックが効かなかったこと
- 念のため個人PCに控えとして個人情報を含むデータを保存したこと
- 業務データを扱うPCを個人PCと共用していたこと
- 危険性が指摘されていたウィニーを情報処理会社の社員が個人PCにインストール使用したこと。
- 再委託が常態化している業界の実態
外部リンク
編集- 流出に関する愛南町の謝罪と発表
- 平成19(ワ)331 事件名 損害賠償請求事件 の判決文(PDF) - ウェイバックマシン(2009年12月29日アーカイブ分)