プロジェクトオーガナイザの吉田聖書です。
先月11月28日に、尼崎市が公式サイトでお知らせを掲載しまして、今年の6月に発生したUSBメモリーの紛失事故についての調査報告書を公表しました。
個人情報を含むUSBメモリーの紛失事案について(2022/11/28 尼崎市)
報告書はこちら
尼崎市USBメモリー紛失事案に関する調査報告書
6月に事故が発生した時には、ちょうど公正取引委員会がIT業界の多重下請構造についての調査報告書を公表したので、その内容を取り上げたタイミングでこの事故にも触れたんですね。このブログでは少し触れる程度だったのですが、今回しっかりした報告書が出てきましたので、改めてちゃんと取り上げたいと思います。
USBメモリ自体は紛失したものの発見されまして、調査の目的の一つはここから個人情報が漏れたのかどうかを確認することであったと考えられます。そして、私がすごいなと思ったのは、その調査を終えて、そのUSBメモリからは個人情報が漏洩していないと結論付けられていることです。これは、デジタル・フォレンジックという技術的・専門的な調査によるもので、たかがUSBメモリであっても、必要な知識と機材があれば「漏洩していない」と自信を持って言えるだけの裏付けが取れるということです。もちろん、USBメモリもデータが暗号化でき、暗号解除の試行のログが残る機能を持っていたというのが一番大きいと思います。
さて、調査報告書の内容はデジタル・フォレンジック調査にとどまりません。事故に至った原因や背景、その問題の対策についてしっかりとまとめられています。この事故が報道された当時、IT業界内外の様々な人が様々な意見を言っていました。それだけこの事故には論点がいくつもあり、それがこの事故を語る上でのハードルになっている点をまず指摘しておきたいと思います。
登場人物として、尼崎市、業務の委託先であるBIPROGY(旧日本ユニシス)社、そして再委託先、再々委託先が挙げられます。USBメモリーを紛失したAさんは再々委託先の従業員だったということで、今回の事故が多重請負の問題として取り上げられることも多かったと思います。しかし、契約内容としては再委託や再々委託が禁止されていたわけではありません。事前に承諾を得ることが条件だったのに、無断で再委託、再々委託をしていたことが問題です。
ですので、様々な論点がある中で、少々乱暴ですが敢えて1つの原因を指摘するとしたら、BIPROGY社の契約不履行(もっと言えば契約を順守しようという意識の欠如)だと言えるでしょう。報告書からは、契約書に謳われていることが守られていなかった、守ろうという意識もなかったということが伺えます。それは再委託の問題だけではなく、尼崎市が提示したセキュリティ基準――その中にはUSBメモリの運搬方法や取扱についての規定(守られてなかった)、セキュリティ研修を実施すべきこと(実施していなかった)――が守られていなかったということも含まれています。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
長年IT業界で仕事をしていると、時々こういう契約書面が形骸化している例に遭遇します。もはやただのテンプレートになっていて、内容でどんなことが謳われようとも行動パターンが変わらないというケースがあります。
ある時、取り交わす契約書のドラフトが送られてきて、その内容に対していくつか指摘をしたことがありました。先方の担当者は「これまでずっとこれでやってきた」の一点張りでした。私はかなり食い下がったのですが、最終的には「その文言を直さないと契約してくれないんですか?」と言われる始末。私は渋々契約を交わすことにしましたが、時間的な制約にプレッシャーを感じて折れたのは良くなかったと思います。
後日、弁護士に確認したところ「裁判になったらその文言は無効と判断されるでしょう」と言われました。つまり、結局は先方の都合で折れたとはいえ、先方が損をすることになる契約内容だったというわけです。ITの担当者が交わす契約はこの程度の意識のものがそれなりにあるのではと思います。いざトラブルになって、契約書を読み返してみたらとんでもない契約内容になっていたという話は時々聞きます。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。