兵庫県尼崎市で全市民約46万人の個人情報が入ったUSBメモリーが一時紛失した問題。今回は悪用された形跡はないとみられるが、氏名や住所、生年月日などの個人情報が漏えいすれば重大なリスクを招く恐れもある。新型コロナウイルス対策の臨時特別給付金では、多くの自治体が尼崎市と同様、業務の一部を外部の情報システム会社などに委託した。業務を請け負う側のIT各社は個人情報をどう守っているのか探った。

　「個人情報を持ち出しは絶対にしないよう社員教育を徹底している」。自治体や官公庁の基幹業務システムを手掛ける内田洋行の齋藤忠史システムズエンジニアリング事業部部長はこう強調する。

　内田洋行グループでは、全社員向けに情報セキュリティーガイドを配布し、パソコンのセキュリティー管理や個人データをはじめとする情報資産の取り扱いをマニュアル化。特に、市役所などの現場に出向いてシステム構築に携わるシステムエンジニア（SE）には、124項目の指針を示した行動基準を持ち歩いてもらい、データを持ち歩かないよう指導している。

　NECも、委託先の個人情報やUSBメモリーの取り扱いを含む情報セキュリティーのルールを規定。預かった個人情報の無断持ち出しを禁止しているほか、委託先と事前に取り決めた方法でデータ授受を行うことなどを定め、年1回以上の社員研修を実施している。

　富士通は、代替手段が確保できない場合を除きUSBメモリーの利用は原則禁止で、社員のパソコンもUSBポートを介した外部媒体にデータの持ち出しができない設定となっている。

　そもそも、なぜ持ち運びできるUSBメモリーがデータの授受に使われるのか。背景にあるのは自治体の高度な情報セキュリティー対策だ。

　住民の個人情報や企業の経営情報を扱う地方自治体のネットワーク環境は、「インターネット接続系」と、日々の業務を行う「LGWAN（総合行政ネットワーク）接続系」、「マイナンバー利用事務系」の三つのネットワークをそれぞれ分離する「三層の対策」で構築される。この三層分離型のネットワーク構成は、それぞれ指定された端末に接続を限定し、異なるネットワーク間でのデータ受け渡しが制限されるなど運用面での制約が多いのが現状。このためクラウドなどの通信ネットワークはセキュリティーの問題で原則使えず、USBメモリーなどのハードが使われるという。（詳細は1日付の電波新聞／電波新聞デジタルに掲載します）