【ワレコのコラム】尼崎市USBメモリ紛失事件の調査と対策案【個人情報保護】

この記事は約10分で読めます。
スポンサーリンク

ワレコ

尼崎市では楽天市場の利用者が少ないらしい。

なぜならアマが先に届くのだ!

下らない冗談なら幾らでも思い付くワテである。

さて、報道によると2022年6月21日(火曜日)に尼崎市の全市民46万人の個人情報データ入りUSBメモリを紛失したとの事だ。

尼崎市から業務委託されていた会社の関係社員が尼崎市の許可なく無断でデータをUSBにコピーし外部に持ち出したとの事だ。

そして大阪市内の居酒屋で飲酒後にカバンごと無くしたそうだ。

あかんがなw

この事件に対して、自称ITの世界的変人のワテが個人情報漏洩問題に対する画期的な解決策を提示したい。

では本題に入ろう。

スポンサーリンク
スポンサーリンク

尼崎市発表のUSB紛失事件の概要と経緯

本事件に関してはネットに沢山の解説サイトがあるが、やはり尼崎市の公式発表を読むのが間違い無いだろう。

以下に尼崎市の公式発表を引用させて頂く。

概要及び経緯

  • 6月21日(火曜日)、住民税非課税世帯等に対する臨時給付金支給事務の受託者であるBIPROGY株式会社関西支社(所在地:大阪市北区大深町、執行役員支社長:竹内裕司)の関係社員がコールセンター(吹田市)でのデータ移管作業のために必要なデータを記録したUSBメモリーをかばんへ入れて本市市政情報センターから持ち出した。データ移管作業完了後、飲食店に立ち寄り食事を済ませた後の帰宅時に当該USBメモリーを入れたかばんの紛失が判明
  • 6月22日(水曜日)、当該関係社員が可能性のある場所を捜索するも発見できなかったため、同日に関係警察署に遺失物届を提出
  • 同日午後3時45分頃、同社から本市にUSBの紛失についての電話連絡(第1報)
  • 当該USBは、パスワードが付され、内容については、暗号化処理が施されています。
  • 現時点において外部への漏洩は、確認しておりません。

引用元 https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html

ちなみにBIPROGY社とは、旧日本ユニシス社だ。

一体全体、大阪のどの辺りの居酒屋へ行ったのか?

もし西成区の辺りなら今頃は路上の露店で鞄もUSBメモリも売られている可能性が高い。急いで行けば回収できる可能性はある。

データは洩れる運命にある

しかしまあこの事件に限らす、一般にデジタルデータって言う物は洩れる運命にあるのだ。

今回の事件のように重要機密データを扱っている人間がUSBメモリやDVD・ブルーレイディスクなどにデータをコピーして外部に持ち出せば簡単に漏洩する。

あるいは、ハッカーがインターネット経由でシステムに忍び込んでデータを盗み出したり、あるいはランサムウェア(身代金ウイルス)攻撃でデータを暗号化して身代金を要求するなどの事件も多い。

機密データの保護と言うのは難しい問題だ。

完全に外部との通信や人の出入りを遮断すれば機密は守られるが、そんな事をすると仕事にならない。

と言う訳で、データは洩れると言う前提で対策を考えておく必要があるのだ。

尼崎市USBメモリに入っていた個人情報データ量を推測する

一体全体、何メガバイトあるいは何ギガバイトくらいのデータが漏れたのだろうか?

この件に関しては、以下に引用する尼崎市の公式発表が参考になる。

  • 個人情報の内容(6月23日午前11時現在で判明しているもの)
    全市民の住民基本台帳の情報(46万517人分)
    統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日など
  • 住民税に係る税情報(36万573件)
    統一コード、住民税の均等割額
  • 非課税世帯等臨時特別給付金の対象世帯情報
    (R3年度分7万4,767世帯分、R4年度分7,949世帯分)
    世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時など
  • 生活保護受給世帯と児童手当受給世帯の口座情報(生保1万6,765件、児手6万9,261件)
    統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義
    (注意)統一コードとは、庁内システムで使用する番号であり、マイナンバー(個人番号)のことではありません

引用元 https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html

上に引用した情報を元に、「統一コード」とか「氏名」とか「郵便番号」などの各データ項目の文字数(バイト数)を推測してみた(下表)。大雑把に多目に見積もっているつもりだ。

  一人当たりバイト数(推定)❺総バイト数(推定)❻(=❺x人数)
 ❶全市民の住民基本台帳の情報(46万517人分)
1統一コード10 
2氏名20 
3郵便番号10 
4住所100 
5生年月日10 
6性別1 
7住民となった年月日など10 
 合計バイト数16174,143,237
    
 ❷住民税に係る税情報(36万573件) 
1統一コード10 
2住民税の均等割額10 
 合計バイト数207,211,460
    
 ❸非課税世帯等臨時特別給付金の対象世帯情報(R3年度分7万4,767世帯分、R4年度分7,949世帯分)
1世帯主の統一コード10 
2申請書番号10 
3申請受付日10 
4申請書不達理由100 
5振込済処理日時など10 
 合計バイト数14011,580,240
    
 ❹生活保護受給世帯と児童手当受給世帯の口座情報(生保1万6,765件、児手6万9,261件)
1統一コード10 
2金融機関コード10 
3支店コード10 
4口座区分2 
5口座番号10 
6口座名義20 
 合計バイト数625,333,612
    
    
 ❶+❷+❸+❹総バイト数98,268,549
 ❶+❷+❸+❹  (1024×1024で割る)

総バイト数(MB)

93.716191

表 尼崎市46万人住民個人情報USBに記録されていたデータ量推測

非常に大雑把な計算ではあるがワテの計算では、このUSBメモリには93.7MBのデータが入っていた事になる。約100MBだ。

今の時代、その十倍の1GBのUSBメモリーですら数百円で買えるのだ。

ワテが考える個人情報漏洩対策案 その1

データは必ず漏洩するという前提に立って、漏洩対策案を考えてみた。

今回の事件に関して言えば、そのUSBメモリーを誰かが拾ってデータをネットに公開するなどの可能性も有り得る。そうすると、そのデータはネット上に永久に存在し続ける事になる。

つまり洩れたデータは永久に消す事は出来ないのだ。それがネット社会の怖いところだが。

さて、仮にそんな状態になったとしても、対策はある。

偽の尼崎住民情報をネットにばら撒けば良い。今回は46万人分の個人情報が漏れた訳だから、その1000倍くらいの偽個人情報をネットにばら撒けば、どれが本物か分からない。

100MBの1000倍なら100GBだ。大したデータ量では無い。例えば百億人分の偽の名簿でもプログラムで一瞬で作り出せる。

だから、偽の尼崎住民情報を記録したUSBメモリを千個とか一万個くらい作って、大阪市内にばら撒けば良いだろう。

そうすればどれが本物か分からないから、今回洩れた個人情報も価値が無くなるのだ。

ただし一つ気になる点は、一万個ものUSBメモリーをばら撒くと、不法投棄とか何かの法律に違反する可能性はある。それは今後対策を考えたい。

と言う訳で、一度でも洩れた情報は元には戻らない。

まさに「覆水盆に返らず」と言う諺が最も当てはまるのがネット社会のデータ漏洩だ。

だから洩れる事を前提にして、例え漏れたとしても洩れた情報の価値を低下させる手法として、偽データを大量にばら撒く作戦は案外良い方法だと思うのだが。

今回のUSBメモリにも、本物データ以外に偽データをその100倍くらい入れてあれば、悪人に拾われたとしても利用価値が極端に低下するはずだ!

どうかな、この案?

自称プログラミングの世界的変人のワテの画期的なアイデアだと思うんだが!?

ワテが考える個人情報漏洩対策案 その2

まあ偽データばら撒き作戦は、多少無理があるかも知れない。

そこでもっと現実的な対策が閃いた!

「GPS機能付き巨大USBメモリ案」だ。

要するに機密データと言えども外部に持ち出す必要が生じる場合はある。

そう言う時にごく普通の小型のUSBメモリにデータを入れて持ち出すから紛失するのだ。

それならA4サイズで厚さ3cmくらある大型辞書くらいのUSBメモリを作れば良い。

かつ、そのUSBメモリにはGPS機能を内蔵させておいて、位置情報を常に発信するような機能を持たせておけば良いのだ。要するに携帯電話とかスマホを内蔵するようなもんだ。

かつ、持ち出す本人のスマホには、そのUSBメモリとの距離が例えば3メートル以上離れたら警報音が鳴る紛失警告アプリを開発して入れておけば良いだろう。

これくらいのセキュリティ対策を考慮した「GPS機能付き巨大USBメモリ」と「紛失警告アプリ」をセットで売り出せば、世界中の公共団体、行政機関、企業、学校など、至る所で購入希望者が殺到するぞ。

利用者は機密データを扱う場合には、小型USBの使用は禁止して必ずこの巨大USBメモリに入れて管理しなければならないと言う規則を作れば良いのだ。

今回の事件であれば、尼崎市、BIPROGY(旧日本ユニシス)社がそう言う運用規則を作っておけば良かったのだ。

三木谷君、是非、「GPS機能付き巨大USBメモリ」と「紛失警告アプリ」を作ってくれ!

何ならワテが開発を請け負っても良いが。

一応ワテのスマホは楽天なので、多少は楽天を応援しているぞ。

ゼロ円プラン廃止は残念だが、まあ、ワテは許す。

まとめ

ワレコ

もし尼崎市さんが外部の有識者で今回のUSBメモリ紛失事件の調査委員会でも作るんなら、ワテも協力させて頂いても良いですが。

ただしワテが「有識者」枠に入る事が出来るかどうか、それが問題だが。

変人枠なら必ず入る自信はある。

当記事では、尼崎市で発生した46万人市民個人情報がUSBメモリで外部に持ち出されて居酒屋で紛失した事件に付いて調査した。

さらに、漏洩したデータ量を推測して見積もってみた。ワテの推測ではUSBメモリには約100MBの個人情報データが記録されていた可能性が高い。

そして、一般にデジタルデータは洩れる運命にあると言う前提で、洩れた場合の対策案を紹介した。その画期的な解決策とは、洩れたデータに似せた偽データを大量に作成してばら撒く作戦だ。本物のデータの何万倍、あるいは何億倍くらいの偽データをネットにばら撒けば、どれが本物か分からなくなる。

絶対に効果的な対策だと思うんだが。

この作戦を実行すると、世界中のコンピュータに大量のデータを蓄える必要が生じるのでハードディスクやSSDはバカ売れするだろう。

今のうちにそう言うメーカーの株を買っておくと値上がりするかも!?

データ漏洩対策の第二案としては、データ漏洩を未然に防ぐ現実的な案として、「GPS機能付き巨大USBメモリ」と「紛失警告アプリ」の案を紹介した。

画期的だ!

でもまあよく考えたら、そんなGPS付巨大USBメモリを作らなくても、普通のUSBメモリとスマホが入れられる鍵付きの箱とか鞄を用意すれば良いかも。

USBメモリを持ち出す際には、その鍵付き鞄にUSBメモリと本人のスマホを入れる規則を作っておけばよい。かつ、鞄と本人は丈夫な鎖で繋いでおく。完璧や。

これなら誰でも今からでも採用出来るアイデアだ。皆さんもお試しください。

まあ要するに重要なUSBメモリを入れた鞄を持っているにもかかわらず酒を飲んで酔っ払って路上で何時間も寝込んだりしなければ防げた事件なのだ。

逆に言えば、そんなに危機感が乏しい人が居る限り、情報漏洩は無くならないと言うごく当たり前の結論となるのだ。

(完)

スポンサーリンク
コメント募集

この記事に関して何か質問とか補足など有りましたら、このページ下部にあるコメント欄からお知らせ下さい。

コラム何でも調査解説記事
スポンサーリンク
warekoをフォローする
スポンサーリンク
われこ われこ

コメント