富士ゼロックスシステムサービスの戸籍データ流出か

自治体の戸籍情報システムを開発している富士ゼロックスシステムサービスから戸籍情報を持ち出したとして、同社に派遣されていた協力会社社員の田辺容疑者と、田辺容疑者が戸籍データを販売したとされている内野容疑者が、同社への脅迫容疑で逮捕されました。

同社本社を訪れた内野容疑者は、持ち込んだノートＰＣに、買い取った戸籍データを表示させ、同社幹部に「漏れたら大変ですね」と脅迫した疑いが持たれているようです。

問題は、自治体に出向いて戸籍情報システムの開発を行っている際に、個人情報へのアクセス制限や不正に対する監視が厳密になされていない可能性が高いということだと思います。
しかし、これは本当に難しい問題であり、例えば情報を集中して管理しているセンターなどであれば、アクセスログの収集やＩＴＶカメラによる監視などが可能になりますが、出先においてそこまでの環境を求めることは実際のところは難しいと思います。今後、このような個人情報に関するシステム開発については、一定以上のセキュリティを保つセンターにおいて集中的に監視されながら行うことが必要になってくると感じました。

情報管理における内部統制システムの構築については、どの企業も頭を悩ませていると思いますが、基本的には個人情報保護法の金融庁ガイドラインの中の安全管理措置に記載されているような事項を守りながら対応していくしかないと思います。

いつ、誰が、どのような権限でその情報にアクセスし、その時にきちんと上長からのチェックは行われたか、情報の受け渡しの際には、いつ、誰がそこに立ち会ったのか、などの記録を残すことが必要だと思います。もちろんシステム的に出来るアクセス制限やアクセスログの取得などの対応は必須となります。個人情報が紛失したり、盗まれた際に、追える仕組み作りが求められると思います。