兵庫県尼崎市の全市民約４６万人分の個人情報を含むＵＳＢメモリーが一時紛失した問題で、市が業務委託したシステム大手ビプロジー社（東京）が設置した第三者委員会の報告書要旨は次の通り。

　◆第１　調査の概要

　第三者委員会は７月１日に設置。委員長で元福岡高検検事長の井上宏弁護士と委員２人で構成され、ビ社と協力会社の計１５人のパソコンや携帯電話に保存されていたメールや電子データのほか、同社と協力会社の役職員３１人に計４５回のヒアリングを実施した。

　また原因分析に活用するため、２２年９月３０日～１０月１１日、ビ社内で、主に官公庁の業務を担当していた部門の計５２４人を対象に、ＵＳＢメモリーなどの取扱の実情やルールの認識、情報セキュリティなどの意識に関するアンケートを実施した。

　尼崎市も第三者委を設置しているため市保有の資料の検証や市関係者へのヒアリングはしておらず、市の第三者委との情報共有もしていない。

　◆第２　事実関係

　日本の国内市場は大手よりも中小規模のソフトウェア企業が多い特徴があり、大規模顧客は大手に発注する例が多く、大手から中小企業に委託されるという産業構造になっている。ビ社も人的資源やコスト面の問題から、他社への再委託・再々委託を行っていた。

　ビ社の前身の日本ユニシスは、遅くとも１９７０年代頃までにはシステム構築業務を受注し、基幹業務システムを一手に受注していた。

　２０００年頃からオープン化の流れで市からの業務受託量が減ったが、この頃から今回ＵＳＢを紛失した社員が所属する企業への再々委託が始まった。

　当時、市は再委託を全面的に禁止しており、その後一部緩和された後も、市の承認を得ずにシステムの運用・保守業務について第三者に再委託する運用を続けていた。再委託はシステム部門がしていたが承認申請はされず、営業部門は再委託を知らなかった。

　◆第３　調査で判明した問題点

　責任は紛失した本人だけでなく、ビプロジーや協力会社役員にもある。

　細密な情報セキュリティー・個人情報保護規定もほぼ遵守されていなかった。尼崎市での業務でもＵＳＢの管理簿などはなく、気付いた人間が口頭で確認する程度で、それが常態化していた。

　再々委託先の社員は、入社以来２０年以上、尼崎市の担当をし、詳細な業務や内情を知っていた。だが会社は再委託先の条件を満たしておらず、ビ社は名目上の再委託先を置き、そこから再々委託する形が取られた。

　承認なしの再委託が続いた原因の一つは営業部門の前例踏襲の文化。また営業とシステムが分断され、再委託するシステム部門は市の承認が必要と認識していなかった。

　２００５年ごろ、市の規則が一部緩和された際、営業部門では無承認での再委託が契約違反と意識され、１３年頃にも再委託が市に発覚しないかという懸念が共有されたが、対応を改めることはなかった。

　◆第４　問題の原因

　アンケートでは、ＵＳＢを使用する際のルールについて、ルールの存在自体は認識しながら守らなかったことがある社員が一定数存在した。これは今回の問題の関係者固有の問題ではなく、ビ社の情報セキュリティーの深刻な問題だ。

　社内の全数調査では、再委託の事前申請が必要な契約１０２９件のうち３２２件（３１・３％）に違反があり、官公庁の案件を多く扱う部署では２６６件中１２９件（４８・５％）に及んだ。

　理由には、契約書の確認の程度や方法が担当者個人の判断に依存していた▽顧客との契約が実質的に長期間継続し「過去の担当者に迷惑がかかる」「顧客との関係性が悪化する」として漫然と引き継ぎを行っていた－などが挙げられる。

　ビ社では、過去にも社員が個人情報入りのＵＳＢを紛失する事案があったが、社長以下の幹部や役職員などのリスク管理意識が欠如していたため、適切な措置が実施されなかった。経営層の姿勢に問題があったと言わざるを得ない。内部監査も実施されず、モニタリング機能も不十分だった。

　◆第５　再発防止策

　ＵＳＢ紛失が起きた直接の原因は、担当者が社内規程や尼崎市との契約を守らず、極めて軽率かつ無責任な態度で、秘匿性、機密性の高い個人情報を取り扱った点にある。

　再発防止策として、徹底した意識改革のほか、リスクに応じた対応が取れるチェック態勢の充実や、違反を申告する内部通報制度の見直しが求められる。

　さらに、ルール違反が横行し、それに気付いても改められなかった前例踏襲や事なかれ主義の組織風土を改善しなければ、再び同じような不祥事が発生することが大いに懸念される。

　問題を受けた改革だけでなく１、３、５年後など一定期間ごとに検証し、社内外に公表して更なる改善策を練り直すことが重要だ。