先日、このようなニュースが流れました。
北海道が民泊業者1137件の名前や電話番号をホームページに誤掲載 届け出情報から個人情報を削除せずに掲載したのが原因 全事業者に謝罪と説明
道庁からの説明
民泊新法に則り正規の手続きを経て2024年から旭川市で民泊を行っている私。実はこのニュースが流れる数日前に道庁から電話連絡があり簡易的な状況説明を受けていました。ただ、電話で延々と説明されても埒が明かないため別途メールで詳細を送って欲しいと伝え一旦は電話を切りました。そして電話があってから数日後、このような回答が届きました。
ご連絡させていただいておりました件に関しまして、発生の経緯や原因、今後の対応について、
別添のとおり報告をさせていただきますので、ご確認くださいますようお願いいたします。また、本件の対応についてでございますが、7/31の事案確認後、即時削除を行った上で掲載の1,137件の届出者様に対しましての対応をさせていただいた後、事案発生に関する報道発表を行ったところでございます。
・8/1(金)~8/3(日):お電話にて経緯やお詫びのご連絡
・8/3(日)~8/4(月):電話で連絡が取れなかった方へメールでのご連絡
・8/6(木)15:00:事案発生に関する報道発表
私に電話があったのは8/1(金)、メールが来たのが8/6(木)ですのでこのスケジュール通りに進んでいたと受け止めます。
そして別紙。簡単にまとめるとこんな感じでした。
概要
- 北海道は国のガイドラインに従って民泊新法に基づく届出番号や所在地等を公表している
- しかし、2025年7月18日から31日にかけて、公表していない情報(個人情報、物件の詳細情報等)が閲覧可能となっていた
- 7月31日、職員がこの状況を確認しデータを削除
閲覧可能となっていた情報
届出した際の情報全てかと思われます。法人名、個人名、住所、電話番号あたりはそもそも機密情報ではないのでそこは問題視していません。しかし、今回流出したデータの中には「生年月日」をはじめとして普段公開することのないようなデータが多数含まれていました。
原因
- 公表データは2か月に1回、更新していた
- 以前は公表データをPDFにしてサイトに張り付けていたが、閲覧者の利便性を高めるため7/18からエクセルファイルを張り付けるように変更した
- 担当者及び役職上位者が確認を怠り、タブが隠れていたシートに気づかないまま公開してしまった
今後の対応
- ダブルチェックを強化しファイル自体の確認も行うことにする
- 研修をする
私からの質問、そして回答
この連絡を受けた私の第一印象は「お役所仕事全開のお話しにならないレベル」。ということですぐに問い合わせを送りました。するとすぐに次の回答が届きました。
Q:7月18日に公開したのち、31日まで発見できなかった(発見した)理由は?
A:職員がサイトを閲覧した際に発見したもの(偶然?)
Q:担当者及び役職上司者が確認を怠ったことが原因とのことだがこれは業務不履行である。彼らへの処分は?
A:道の規定に基づき道及び国の関係部署へ報告を行っており、処分等においてはその報告を踏まえてなされるものと考えている
Q:ダブルチェックが機能していないこと、さらに言えばミスがあってもそのまま情報が垂れ流されてしまうことは構造上の欠陥では?
A:サイトの更新にあたっては公表する予定の内容を印刷し、紙ベースで課内決裁後に作業を行っていた。決裁後、ホームページへファイルをアップロードする際にエクセルデータのダブルチェックを怠っていたことが原因と考えている
Q:本件を受けた対策として「ダブルチェックの強化、職場研修」は再発防止にならないのでは?
A:ダブルチェックでのデータ確認の徹底、チェックリストを作成して作業を行うことを徹底、今までも情報セキュリティに関する研修を実施してきたが今回の事例も含めた研修を行う
Q:個人情報に対する認識、管理が甘すぎるのではないか?今回流出したデータがリスト化され将来的に悪用された場合にどんな責任を取るのか?
A:今回の件で何らかの被害が発生した場合には、その状況等を確認させていただいた上で適切に対応させていただく所存である
ザックリこんなやり取りを行いましたが、これを受けての私の認識は「全く再発防止になっていない」。そもそも人間はミスします。なのでいくら研修、ダブルチェックを強化したところでそれでは再発防止にはなりません。再発防止のためには
- 情報流出の真の原因を特定しそこに対策すること
- ミスをしても情報流出しない仕組みが必要
なのです。
この点を含め、もう少し道庁とやり取りしていくつもりです。
