これじゃ実効性ある対策を打てないぞ
まず前提として、尼崎市(というか尼崎市役所)は単なる被害者ではない。問題を引き起こしたのはBIPROGYとはいえ、役所にとって「お客様」である市民の個人情報を漏洩の危機にさらしたのだから、役所はお客様に対する大きな責任がある。「泥酔してUSBメモリーを紛失」という事件のインパクトがあまりに大きかったため、そこにばかり注目が集まったが、実は常駐技術者のいいかげんな作業によって全市民の個人情報が常時、危機にさらされていたのだから、役所の管理不行き届きの罪は極めて重い。
当然、尼崎市もその罪深さを自覚しているはずだ。だったら、なぜ管理不行き届き、ベンダーマネジメントの欠如の原因を徹底的に調べないのか。例えば「管理カード貸与を含めたサーバールームの入退室管理、B社執務室内の業務に対する監査、USBメモリーの取り扱い、データ消去その他、尼崎市としていくつもの対策を講ずべき問題が認められた」(報告書)とするならば、当然、その問題の根源を1つひとつ究明していかなければならない。
もちろん、この報告書は第三者による委員会がまとめたものだ。だからといって「ひどい報告書であっても仕方がないじゃないか」とはならない。そもそもこの手の委員会は、組織内部のしがらみに影響されない第三者の立場で公正、かつ徹底的に調査するところに価値がある。それがザル調査では意味がないではないか。尼崎市も市民に対する説明責任がある以上、報告書を受領せず「もっと徹底的に調べてほしい」と再度の調査を依頼するのが筋ではないか。
「実際に個人情報が漏洩したわけではないのだから、そこまでやる必要はないのでは」と思う読者がいるかもしれないが、それは違うぞ。例えば航空機のニアミス(異常接近)が発生したら、「パイロットが注意を怠った」程度で済まされないだろう。国土交通省の運輸安全委員会が航空事故調査官を派遣して原因を徹底的に調べる。あれと同じである。何せ全市民の個人情報の危機だったのだ。単に説明責任を果たすだけじゃないぞ。根本的な原因を明らかにすることで、再発防止に向けた実効性のある対策を打てるようになるのだ。
例えばサーバールームの入退室管理がザルで、BIPROGYの誰がどんな仕事をしているのかや、個人情報の扱いがどうなっているのかを全く把握できていなかった点1つ取っても、その原因が何なのかで対策は全く異なってくるはずだ。市のIT部員らがベンダーマネジメントの必要性を全く感じていなかったり、正しいやり方が分からなかったりした場合と、人員や予算が足りずにやるべきことをできなかった場合とでは、打つべき対策は異なって当然だ。だから、そこまで掘り下げないままに、打つべき対策を並べ立ても実効性は伴わないぞ。
BIPROGYが契約に反して無断で再委託し、さらに再々委託までが行われていた問題についても同じことがいえる。報告書によると、「念のため」再委託や再々委託の事実を知っていたかを市職員らに確認したそうだ。その結果「知らなかった」との回答を得たとしている。それが事実として、ではなぜ知り得なかったのか、その点が重要だ。BIPROGYを完全に信用していたのか、こっそり再委託されても別に問題はないと考えていたのか、あるいは確認の必要性を感じながらも何らかの事情でできなかったのか。それぞれ、全く意味合いが異なる。
委託先が扱う対象が全市民の個人情報である点を考えると、「確認の必要性を感じながらも何らかの事情でできなかった」と推定できる。では、何らかの事情とは何か。通常なら定期的に正式な社員証を確認するか、社員であることを保証する書類を提出させるかすれば済む話だ。にもかかわらず、そんな確認作業をやらなかったのはなぜか。こうしたことを問い詰めていかなければ、本当のことは分からないし、実効性ある対策も出てこない。「長期にわたって無断再委託、再々委託が行われていた事実を市が見抜けなかったが、従前からの継続・更新であるとしてB社に対する審査が緩んでいた」(報告書)程度の掘り下げでは話にならない。
Powered by リゾーム?