この事件では、まずは尼崎市のおまかせ体質が糾弾されるべきだね。
市長もこの点が理解できていないようだった。
市と業者との会議の場でコールセンターで使用するデータを更新することが決まった。
通常、市が自己責任でセキュリティを確保して、データを格納した媒体を作業先に
搬送する。
(ネット経由で暗号化して送信するのが一般的)
この場合、データのダウンロードとアップロードも市の担当者がやるべきだ。
別に現場にいる必要はなく、リモートで操作することだって可能だ。
業務を受託した業者がオールマイティのID・パスワードを持つべきではない。
しかし、なんと、業者の従業員が市民情報データをダウンロードしたとのこと。
これはデータベースにアクセスできるIDとパスワードの管理を尼崎市が業者に
開放していたということになる。
そんなことしたら業者の従業員の自宅のパソコンに市民の情報が保管されてしまう
ことだって可能になってしまう。
あり得ないね。
この紛失した従業員の自宅のパソコンや関係先も至急確認すべきだ。
多分、オペレーションログも取っていないだろうから、関係者全員の調査も必要だ。
さらにUSBメモリの暗号化パスワードの変更ルールも確認し、変更した場合の通知
方法も検討すべきだ。
まずこんなリスクが想定できない尼崎市の情報システム部門のリスクマネジメントは
大問題だな。
そして、BIPROGYなる会社。もとは日本ユニシスだった。びっくり。
日本ユニシスは、ユニバックとバロースが統合して発足した企業だ。懐かしい。
「お預かりした大切な情報を紛失するという事態」とコメントしているが、
俺なら絶対預からない。
また、勝手に自由にダウンロードしてるので、今回の件は「お預かり」ではない。
このへん、当たり前の業務プロセスをしっかりさせればこんな問題は起きない。
以前、ベネッセでも同じようなデータ盗用事件があった。(悪意の有無で異なるが)
このベネッセに似た行政が管理するデータの盗用版になってしまう可能性があった。
まず業務委託契約の内容を明確にすべきでやるやらないの業務仕様を明確にすべきだ。
事前に記載すべき内容はIT企業で検証可能であり、リスクを負わない内容のひな型
は作成できる。
これが画一的な契約書で受託するからこんなことになる。
バカな企業は自前の契約書を見せてもらえばすぐに見極められる。
この点において、BIPROGYという会社は墓穴を掘った。
もうきれいな虹を出すことはできないだろう。
BIPROGY社の法務部門の危機感のなさも問われるべき事件だ。
行政のおまかせ体質をさらに緩くしてしまうのではなく、役割分担について深く
調整すべきだ。
この点において、ユーザーサイドの危機管理を緩慢にしてしまうIT企業が持つ罪は大きい。
【追伸】
6/27のニュースで、持ち出した従業員は再委託先とのこと。
基本的に請負契約であれば再委託は法的には問題ないが、契約で禁止するか、
事前通知・承諾を前提に許可とするケースが多い。
準委任契約ならば、法的に事前承諾は不可欠だ。基本的に再委託はできない。
黙って再々委託までしてしまうなんて論外。
秘密保持義務をどのように課していたのか?
こりゃ、ダメだねぇ・・・
この委託業務が請負だったのか、準委任だったのか、契約類型も気になる。
偽装請負の匂いもしてきた。
こんなところからも尼崎市と「黒虹」会社のいい加減さはとんでもないことだ。
無茶苦茶な取引、委託取引が横行している。
それが行政で起こっていること、行政に出入りする業者も無頓着。
これは大問題だ!!
