松山交番で1年分の勤務日誌紛失！個人情報漏洩事件から学ぶ情報セキュリティ対策

こんにちは。今回は愛媛県松山市で発生した、かなり深刻な個人情報紛失事件についてお話しします。現役のCSIRTメンバーとして、これまで数多くの情報漏洩事件を調査してきましたが、今回の事件は「誤って廃棄した可能性が高い」という警察の発表に、正直驚きを隠せませんでした。

事件の概要：1年分の勤務日誌が消失

2025年6月2日、松山市の大街道交番で勤務日誌の保管場所を変更する際の点検で、2024年1年分の勤務日誌が紛失していることが判明しました。この勤務日誌には、落とし物の届け出である「遺失届」などの個人情報が含まれている可能性があり、警察は「誤って廃棄した可能性が高い」としています。

通常、こうした重要文書は背表紙に保存期間や廃棄期日を記載したファイルで保管し、廃棄する場合は副署長などの文書管理者が確認することになっています。しかし、今回はそのチェック体制が機能しなかったということになります。

私がこれまで携わってきた情報漏洩事件の調査では、「誤廃棄」が原因とされるケースでも、実際にはより深刻な問題が潜んでいることが多々あります。

警察組織でさえこのような管理ミスが発生するということは、一般企業や個人の情報管理がいかに危険な状態にあるかを示唆しています。過去に調査した中小企業の事例では、顧客情報が記載された書類が一般ゴミとして廃棄され、競合他社に顧客リストが流出したケースもありました。

副署長による確認というチェック機能が働かなかったということは、組織内部の統制システムに問題があったことを意味します。これは多くの企業でも共通する課題で、形式的なチェック体制はあっても、実際には機能していないケースが非常に多いのです。

実際に私が関わった事例をいくつか紹介します（もちろん、守秘義務の範囲内で）。

ある地方自治体では、住民の個人情報が記載された書類が誤って一般廃棄物として処理されました。幸い悪用は確認されませんでしたが、廃棄処理業者のヤードで書類が発見され、大きな問題となりました。この事件では、廃棄承認のデジタル化と、Webサイト脆弱性診断サービスの導入で再発防止が図られました。

製造業のある中小企業では、退職した従業員が顧客情報を持ち出し、競合他社に転職後にその情報を悪用するという事件が発生しました。調査の結果、社内のPCにはアンチウイルスソフトが導入されておらず、USBメモリによる情報持ち出しが容易に行える状況でした。

今回の事件で「落とし物の届け出」をした方々は、自分の個人情報がどうなっているか分からない状況にあります。このような状況に備えて、個人レベルでできる対策をお伝えします。

個人情報を扱う官公庁や企業とのやり取りでは、VPN を利用することで、通信の暗号化と匿名性を確保できます。特に公共Wi-Fiを使用する際は必須です。

スマートフォンやパソコンには必ずアンチウイルスソフトを導入し、定期的にアップデートを行ってください。個人情報を狙ったマルウェアは日々進化しており、最新の対策が不可欠です。

官公庁への届け出や申請では、必要最小限の情報のみを提供するよう心がけましょう。今回の遺失届でも、連絡先の選択肢があれば、携帯電話番号のみにするなどの工夫ができます。

今回の事件を受けて、企業や組織が実施すべき対策についても言及します。

書類の保管から廃棄まで、全プロセスをデジタル化し、ログを残すシステムの構築が必要です。また、定期的なWebサイト脆弱性診断サービスにより、情報管理体制の脆弱性を発見し、改善することが重要です。

どんなに優れたシステムを導入しても、それを扱う人間のミスは避けられません。定期的な情報セキュリティ研修と、実際の事例を用いた教育が不可欠です。

一つの対策が失敗しても、他の対策でカバーできる多層防御の考え方が重要です。物理的な管理と、デジタル技術による監視を組み合わせることで、リスクを最小化できます。

今回の松山交番での事件は、どんなに信頼できる組織でも情報漏洩は起こりうることを示しています。警察という、セキュリティに最も敏感であるべき組織でさえ、このような事件が発生するのです。

重要なのは、こうした事件を「他人事」として捉えるのではなく、「明日は我が身」という意識で対策を講じることです。個人レベルではアンチウイルスソフトとVPN の導入、企業レベルではWebサイト脆弱性診断サービスの実施など、今すぐできる対策から始めることをお勧めします。

情報セキュリティは、一度の対策で完了するものではありません。常に新しい脅威に対応し、継続的に改善していく必要があります。今回の事件を教訓として、私たち一人ひとりがセキュリティ意識を高めていくことが重要です。