大阪府堺市の職員が、個人情報を無断で持ち出してレンタルサーバへ保存し、外部へ流出した問題で、あらたに約68万人分の有権者データが流出していたことがわかった。

問題の事件は、同市職員がシステム開発などを目的に住民の個人情報を自宅へ持ち帰り、職員が借りていたレンタルサーバへデータを保存していたもので、9月に外部流出が明らかとなっている。

9月の時点で外郭団体職員など約1000件の個人情報のほか、2011年11月の大阪府知事選挙における不在者投票対象者や、投開票所の施設管理者の個人情報など561人分の個人情報流出が判明。また同職員が有権者情報約68万件を自宅へ持ち出していたことを同市は公表していた。

その後の調査で、2011年11月の大阪府知事選挙時における約68万人分の有権者データをはじめ、ポスター設置場所の貸し主23件の一覧、伝統産業会館研修室の利用申込者5件、伝統産業会館運営事業費の支出データ、システムのマニュアルなど、6種類のファイルがインターネット経由で外部へ流出していたことがあらたに判明した。

これらを含むレンタルサーバ上へ保存されていた15種類のファイルが、インターネット経由でアクセスされ、個人情報が流出した。これらファイルのアクセス元は、2種類のIPアドレスからのアクセスだった。

同市によると、流出した個人情報を特定するため、職員宅や職場で使用していたパソコンやハードディスクを押収したが、すでに削除や初期化するなど証拠が隠滅されていたという。

外部業者を用いてパソコンやハードディスクのファイルの復元を実施。レンタルサーバ上のファイルも削除されていたが、残存するファイルの操作ログから、レンタルサーバに保存されたファイルにおいて、外部からアクセスされたファイルを特定した。

同市では、データを持ち出した職員を懲戒処分とし、免職するとともに刑事告訴を検討している。またデータを提供した職員をはじめ、関係者を処分した。

情報が漏洩した関係者へ文書により謝罪するほか、外部よりアクセスした人物へ情報提供やデータの返却、消去など協力を求めるために接触を試みている。（Security NEXT – 2015/12/14 ）

http://www.security-next.com/065182