情報セキュリティは「性善説」で取り組んではならない

 尼崎市役所で発生した受託業者の関係社員による個人情報を記録したUSBメモリー紛失事案は、呆れるばかりの不祥事である。

 先の山口県阿武町の誤送金問題で明らかになった、現在でも業務にフロッピーディスクを使用しているという地方自治体のIT化の遅れには驚いた。

 しかし、今回の事案では尼崎市役所の情報セキュリティ対策の不備、いやなきに等しい状態にはさらに驚いた。

 具体的には、部外者が許可なく情報システムにアクセスしていること、また許可なく、さらにウイルスチェックがなされていないUSBメモリーを情報システムに接続していることなどは、職員のセキュリティ意識の低さはもとより、組織の日常業務のPDCA(plan-do-check-act)サイクルが機能していないことを示している。

 今回の事案は総務省が現在推進しているマイナンバーカードの普及促進の努力を台無しにするものである。

 総務省は6月23日付で全国の地方自治体に通知を出し、受託業者への情報保全対策の徹底を求めた。

 総務省は受託業者に対する指導強化の通知を出すだけでなく、全国の地方自治体そのものの個人情報保護体制を再点検すべきであろう。

 そうしなければいつになってもデジタル・ガバメントの構築は達成できないであろう。

 本稿は、今回の事案から全国の地方自治体に参考となる教訓を導き出そうとするものである。