岡崎市立図書館にアクセスして刑事事件に発展してしまった事件に対する真相をボランティアによって調査してみたら、複数の自治体で個人情報漏えい事件が発覚してしまってます。
しかし、
・事象に対する調査自体を、
・事象発生元である企業に調査させ、
・その報告をれを信じて、
・自治体が広報する
という体制でよいのでしょうか?
そもそも事象が発生し、その発生原因、この対策を検証するのは発注元の責任になるでしょう。
個人情報漏えいという重大事象に対し、発生当事者は(当然ながら)意図して漏えいしたわけではありませんから、何らかの過失があるわけです。その過失原因調査能力があるのであれば、漏えいは発生しないでしょうし、発生企業側からの自主申告ができるでしょう。
また、顧客や第三者からの指摘により調査するのであれば、当該企業の別部門(たとえば品質管理部門とか)が調査するでしょう。会計であれば、監査法人等外部に依頼するわけですから、そういう手法があることは公知だと思います。
今回の情報漏えい事象は、その複数の自治体にわたって発生しているわけですから、どこかの自治体が事象発生元の説明に対して、その根拠を問いただしていてもよさそうです。
しかし、どうも説明をそのまま「うのみ」していそうなのが不思議です。
たとえば 10月16日の日記(
トラブル発覚時の謝罪方法のあり方)で事例に挙げた 中野区立中央図書館ですが、日記にも書いた通り15日の発表以降にも漏えいが発覚しています。
http://www3.city.tokyo-nakano.lg.jp/tosho/index9_2.html15日の発表では
ダウンロードされたデータの確認は全て完了しており、今回判明したもの以外に混入した個人情報はございません。
http://www.mdis.co.jp/news/topics/2010/1015.htmlと明記していたにもかかわらず、新たに漏えいが発覚したわけです。つまり、事象発生企業自身の調査能力に疑問をもって当然の事態が発生しているのです。にもかかわらず、上記20日の中野区立中央図書館の発表文は企業側の説明を信用していると思わざるを得ない内容です。
原因は、2003年にシステム開発を行った際、三菱電機インフォメーションシステムズ株式会社が自社の作業用パソコンを持ち込みテスト作業を行い、テスト完了後、パソコンを持ち帰り、この時、データ消去が完全に行われずにプログラムの中に個人情報2名分が残存してしまったものです。
これは企業の説明でしょうが、これを信用してよいのでしょうか?
情報漏えいの発見者が、中野区立図書館に充てて調査結果を提出した内容が公表されました。
http://www.vippers.mydns.jp/public/の方法に従って、WevDAVで接続したデータ領域に「中野区立図書館向け報告書.pdf」という文書ファイルがあります。
ぜひその内容と見比べて、
重大な事象が発生した場合、当事者が取るべき対応をもう一度考えてほしいと思います。
