元職員による個人情報等の持ち出しについて
最終更新日 : 2022年4月6日
元職員による個人情報等の持ち出しについて
本市教育委員会社会教育部スポーツ課の元職員が、課の管理する個人情報等を含む電子ファイルを持ち出していたことが判明しました。
このような事態が生じたことにつきまして、関係者の皆様に多大な御迷惑をお掛けし、また、市政に対する市民の皆様の信頼を損ねたことを深くお詫びをするとともに、信頼の回復及び再発防止に努めてまいります。
このような事態が生じたことにつきまして、関係者の皆様に多大な御迷惑をお掛けし、また、市政に対する市民の皆様の信頼を損ねたことを深くお詫びをするとともに、信頼の回復及び再発防止に努めてまいります。
事案の概要
平成31年4月17日に市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話があり、電子データ記録を調査した結果、在職中の平成30年11月29日と退職日翌日の平成30年12月22日に、個人情報を含むファイルを持ち出された恐れがあることが分かりました。(別紙「ファイルが持ち出された流れ」を参照)
別紙「ファイルが持ち出された流れ」(PDF形式:72KB)
元職員へ聞き取り調査を行ったところ、平成30年11月29日については持ち出しを否定しましたが、平成30年12月22日については持ち出したことを認めました。
本市としては、元職員は平成30年11月29日の持ち出しについては否定をしていますが、持ち出そうとしてコピーしたファイルに個人情報が含まれていた市民2名(本市職員の家族)に選挙はがきが届いていたことが確認できたため、個人情報を含むファイルを持ち出し、利用されたと判断しています。
なお、現在のところ、2次被害等の事実は確認できておりません。
別紙「ファイルが持ち出された流れ」(PDF形式:72KB)
元職員へ聞き取り調査を行ったところ、平成30年11月29日については持ち出しを否定しましたが、平成30年12月22日については持ち出したことを認めました。
本市としては、元職員は平成30年11月29日の持ち出しについては否定をしていますが、持ち出そうとしてコピーしたファイルに個人情報が含まれていた市民2名(本市職員の家族)に選挙はがきが届いていたことが確認できたため、個人情報を含むファイルを持ち出し、利用されたと判断しています。
なお、現在のところ、2次被害等の事実は確認できておりません。
対応の経過
平成31年4月17日
市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話がある。
令和元年8月7日
総務省(自治行政局 地域情報政策室)及び神奈川県(総務局 ICT推進部 情報システム課)にインシデント報告書を提出
8月8日
謝罪会見を実施
8月29日
平塚市議会で、元職員に対する辞職勧告決議を可決(PDFファイル:5KB)
9月4日
広報ひらつか9月第1金曜日号に、市長のおわび文を掲載(PDFファイル:3.7MB)
9月5日
担当課のイベントの申込者250名に謝罪文を送付
9月30日
関係団体及び平塚市公共施設予約システム登録団体の代表者21,928名に謝罪文を送付
10月1日
市長、副市長及び教育長の給与月額を削減するため「平塚市特別職員の給与に関する条例」を一部改正
11月5日
元職員を、平塚市個人情報保護条例違反で告発
令和2年2月17日
元職員に対し損害賠償請求に係る訴えを提起するため、令和2年3月市議会定例会に議案を提出
3月17日
令和2年3月市議会定例会において、元職員に対する損害賠償請求に係る訴えの提起に関する議案が可決
3月24日
元職員に対する損害賠償請求を横浜地方裁判所小田原支部に提訴
3月27日
元職員に対する損害賠償請求について、口頭弁論期日が令和2年5月22日午前10時と指定される。
5月14日
元職員に対する損害賠償請求について、口頭弁論期日が新型コロナウイルス感染拡大防止のため取消となる。
7月30日
元職員に対する損害賠償請求について、口頭弁論期日が令和2年9月25日午後1時30分と指定される。
8月25日
元職員を平塚市個人情報保護条例違反で告発した件について、神奈川県警察本部から、8月25日付けで横浜地方検察庁に事件送付した旨の報告を受ける。
9月25日
元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第1回口頭弁論が行われる。また、次回の口頭弁論期日が、令和3年1月22日となる。
10月23日
元職員を平塚市個人情報保護条例違反で告発した件について、横浜地方検察庁から、10月21日付けで不起訴処分となった旨が通知される。
10月23日
元職員を平塚市個人情報保護条例違反で告発した件について、不起訴処分となった理由の告知を請求し、10月21日付けで「嫌疑不十分」と告知される。
令和3年1月22日
元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第2回口頭弁論が行われる。また、次回の口頭弁論期日が、令和3年5月21日となる。
5月21日
元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第3回口頭弁論が行われる。次回の口頭弁論期日は未定。
令和4年2月21日
元職員に対する損害賠償請求について、和解契約を締結するため、令和4年3月市議会定例会に議案を提出
3月23日
令和4年3月市議会定例会において、元職員に対する損害賠償請求に係る和解契約の締結に関する議案が可決
3月23日
元職員に対する損害賠償請求に係る和解契約の締結に関する議案が可決されたことに関する市長コメント(PDFファイル:4KB)
3月25日
元職員に対する損害賠償請求について、和解契約を締結しました。
市民から、「選挙に出ている元職員から選挙葉書が送られてきた。個人情報が漏れている可能性があるので調べてほしい。」との電話がある。
令和元年8月7日
総務省(自治行政局 地域情報政策室)及び神奈川県(総務局 ICT推進部 情報システム課)にインシデント報告書を提出
8月8日
謝罪会見を実施
8月29日
平塚市議会で、元職員に対する辞職勧告決議を可決(PDFファイル:5KB)
9月4日
広報ひらつか9月第1金曜日号に、市長のおわび文を掲載(PDFファイル:3.7MB)
9月5日
担当課のイベントの申込者250名に謝罪文を送付
9月30日
関係団体及び平塚市公共施設予約システム登録団体の代表者21,928名に謝罪文を送付
10月1日
市長、副市長及び教育長の給与月額を削減するため「平塚市特別職員の給与に関する条例」を一部改正
11月5日
元職員を、平塚市個人情報保護条例違反で告発
令和2年2月17日
元職員に対し損害賠償請求に係る訴えを提起するため、令和2年3月市議会定例会に議案を提出
3月17日
令和2年3月市議会定例会において、元職員に対する損害賠償請求に係る訴えの提起に関する議案が可決
3月24日
元職員に対する損害賠償請求を横浜地方裁判所小田原支部に提訴
3月27日
元職員に対する損害賠償請求について、口頭弁論期日が令和2年5月22日午前10時と指定される。
5月14日
元職員に対する損害賠償請求について、口頭弁論期日が新型コロナウイルス感染拡大防止のため取消となる。
7月30日
元職員に対する損害賠償請求について、口頭弁論期日が令和2年9月25日午後1時30分と指定される。
8月25日
元職員を平塚市個人情報保護条例違反で告発した件について、神奈川県警察本部から、8月25日付けで横浜地方検察庁に事件送付した旨の報告を受ける。
9月25日
元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第1回口頭弁論が行われる。また、次回の口頭弁論期日が、令和3年1月22日となる。
10月23日
元職員を平塚市個人情報保護条例違反で告発した件について、横浜地方検察庁から、10月21日付けで不起訴処分となった旨が通知される。
10月23日
元職員を平塚市個人情報保護条例違反で告発した件について、不起訴処分となった理由の告知を請求し、10月21日付けで「嫌疑不十分」と告知される。
令和3年1月22日
元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第2回口頭弁論が行われる。また、次回の口頭弁論期日が、令和3年5月21日となる。
5月21日
元職員に対する損害賠償請求について、横浜地方裁判所小田原支部で第3回口頭弁論が行われる。次回の口頭弁論期日は未定。
令和4年2月21日
元職員に対する損害賠償請求について、和解契約を締結するため、令和4年3月市議会定例会に議案を提出
3月23日
令和4年3月市議会定例会において、元職員に対する損害賠償請求に係る和解契約の締結に関する議案が可決
3月23日
元職員に対する損害賠償請求に係る和解契約の締結に関する議案が可決されたことに関する市長コメント(PDFファイル:4KB)
3月25日
元職員に対する損害賠償請求について、和解契約を締結しました。
対象ファイル
平成30年11月29日(在職中)
ファイル数 1,019件
個人情報のデータ件数 31,429件(個人、団体等の情報を含む延べ件数)
平成30年12月22日(退職日翌日)
ファイル数 16件
個人情報のデータ件数 248件(延べ件数)
個人情報の内容
氏名、住所、電話番号、メールアドレス、性別、生年月日、口座情報等
(ファイルにより含まれていた個人情報は異なる)
ファイル数 1,019件
個人情報のデータ件数 31,429件(個人、団体等の情報を含む延べ件数)
平成30年12月22日(退職日翌日)
ファイル数 16件
個人情報のデータ件数 248件(延べ件数)
個人情報の内容
氏名、住所、電話番号、メールアドレス、性別、生年月日、口座情報等
(ファイルにより含まれていた個人情報は異なる)
原因
元職員が通常使用していた庁内ネットワークのパソコンは、USBメモリの接続制限機能が装備されていたが、公共施設予約システム専用パソコンは接続制限機能を装備しておらず、このパソコンを経由してファイルを別のUSBメモリに移すことが可能であったため。
退職日翌日の平成30年12月22日に市庁舎に入館できたことについては、元職員から、「退職日翌日に荷物の整理がしたい」との申し出があり、執務室への入室を許可していたため。さらに、退職日翌日に庁内ネットワークのパソコンにアクセスできたことについては、アクセスに必要なアカウントの削除処理が行われていなかったため。
退職日翌日の平成30年12月22日に市庁舎に入館できたことについては、元職員から、「退職日翌日に荷物の整理がしたい」との申し出があり、執務室への入室を許可していたため。さらに、退職日翌日に庁内ネットワークのパソコンにアクセスできたことについては、アクセスに必要なアカウントの削除処理が行われていなかったため。
再発防止策
情報セキュリティインシデント再発防止策
職員による不正行為に対するセキュリティ対策として、「管理・監督者によるシステムや媒体のチェックの強化」と「利用履歴の追跡力の向上による不正利用抑止の強化」を行います。
今回の事案は、USBメモリの接続制限機能が装備されていないパソコンを経由して行われたことから、市が所有・管理している接続制限のないパソコンに管理ツールを導入し、利用制限と併せて利用履歴(ログ)のチェックを行うことで、パソコンの利用に関する管理強化を行います。
USBメモリのセキュリティ対策強化
今回の事案は、セキュリティ対策のされていないUSBメモリを利用して行われたことから、これらのUSBメモリは原則使用禁止としてセキュリティUSBメモリに切り替え、利用履歴(ログ)のチェックができるようにし、不正利用に対する抑止の強化を図ります。
USBメモリなどの電磁的記録媒体は、管理・監督者が直接管理をし、それらの利用履歴をチェックすることで、管理を徹底します。
確実なアカウント削除の実施
庁内の連絡体制を強化し、退職時のアカウントの削除を適切に実施します。
職員研修の実施とチェック体制の強化
職員研修を実施して、情報セキュリティポリシーの遵守及び情報の取り扱いなど情報モラルに関して周知徹底を図ります。また、情報セキュリティ自己点検や監査内容の見直しを行い、チェック体制の強化を図ります。
技術的対策
今回の事案は、USBメモリの接続制限機能が装備されていないパソコンを経由して行われたことから、市が所有・管理している接続制限のないパソコンに管理ツールを導入し、利用制限と併せて利用履歴(ログ)のチェックを行うことで、パソコンの利用に関する管理強化を行います。
USBメモリのセキュリティ対策強化
今回の事案は、セキュリティ対策のされていないUSBメモリを利用して行われたことから、これらのUSBメモリは原則使用禁止としてセキュリティUSBメモリに切り替え、利用履歴(ログ)のチェックができるようにし、不正利用に対する抑止の強化を図ります。
人的対策
USBメモリなどの電磁的記録媒体は、管理・監督者が直接管理をし、それらの利用履歴をチェックすることで、管理を徹底します。
確実なアカウント削除の実施
庁内の連絡体制を強化し、退職時のアカウントの削除を適切に実施します。
職員研修の実施とチェック体制の強化
職員研修を実施して、情報セキュリティポリシーの遵守及び情報の取り扱いなど情報モラルに関して周知徹底を図ります。また、情報セキュリティ自己点検や監査内容の見直しを行い、チェック体制の強化を図ります。
職員研修等
現在までに実施した職員研修等
市長から全職員に、「より一層の服務規律の確保、法令の遵守及び個人情報等の情報の適正な取扱いと管理の徹底」を指示。(令和元年8月9日)
各課長及び各課の情報化リーダーを対象に、今回の事案に対する再発防止策説明会を実施。(令和元年9月3日、10月8日)
各課長を対象に、「個人情報の適正な管理」をテーマに個人情報保護制度研修会を実施。(令和元年10月11日、令和2年10月20日)
各課長及び各課の情報化リーダーを対象に、情報セキュリティ研修を実施。(令和元年11月28日)
各課職員を対象に、「電子データによる情報漏洩」をテーマに危機管理研修会を実施。(令和2年1月16日)
各課の情報化リーダーを対象に、情報セキュリティ研修を実施。(令和2年5月19日、令和3年5月25日)
各課職員に対して行う保有個人情報の取扱いにかかる自己点検において、個人情報の持ち出しについて、所属長によるチェック機能を確認。(令和2年5月、令和3年5月)
個人情報保護監査において、個人情報の持ち出しについて、所属長によるチェック機能を確認。(令和2年8月、令和3年8月)
各課長及び各課の情報化リーダーを対象に、情報セキュリティ監査結果を踏まえたセキュリティ研修を実施(書面・DVD視聴)。(令和2年11月20日)
各課長及び各課のデジタル推進員(旧情報化リーダー)を対象に、情報セキュリティ監査結果を踏まえたセキュリティ研修を実施(デジタル推進員は書面)。(令和3年11月24日、25日)
市長から全職員に、「より一層の服務規律の確保、法令の遵守及び個人情報等の情報の適正な取扱いと管理の徹底」を指示。(令和元年8月9日)
各課長及び各課の情報化リーダーを対象に、今回の事案に対する再発防止策説明会を実施。(令和元年9月3日、10月8日)
各課長を対象に、「個人情報の適正な管理」をテーマに個人情報保護制度研修会を実施。(令和元年10月11日、令和2年10月20日)
各課長及び各課の情報化リーダーを対象に、情報セキュリティ研修を実施。(令和元年11月28日)
各課職員を対象に、「電子データによる情報漏洩」をテーマに危機管理研修会を実施。(令和2年1月16日)
各課の情報化リーダーを対象に、情報セキュリティ研修を実施。(令和2年5月19日、令和3年5月25日)
各課職員に対して行う保有個人情報の取扱いにかかる自己点検において、個人情報の持ち出しについて、所属長によるチェック機能を確認。(令和2年5月、令和3年5月)
個人情報保護監査において、個人情報の持ち出しについて、所属長によるチェック機能を確認。(令和2年8月、令和3年8月)
各課長及び各課の情報化リーダーを対象に、情報セキュリティ監査結果を踏まえたセキュリティ研修を実施(書面・DVD視聴)。(令和2年11月20日)
各課長及び各課のデジタル推進員(旧情報化リーダー)を対象に、情報セキュリティ監査結果を踏まえたセキュリティ研修を実施(デジタル推進員は書面)。(令和3年11月24日、25日)
特別職の給与の削減
今回の事案を組織として防止することができなかった管理体制に対する責任や、市民、社会に与えた影響等を総合的に考慮して、市長、副市長及び教育長の給与を削減いたします。
削減期間
令和元年10月1日から令和元年12月31日まで
削減率(金額)
市長10%(605,379円)
副市長7%(352,342円)
教育長7%(308,568円)
削減期間
令和元年10月1日から令和元年12月31日まで
削減率(金額)
市長10%(605,379円)
副市長7%(352,342円)
教育長7%(308,568円)
刑事告発
今回の元職員の行為は、平塚市個人情報保護条例第63条に該当すると考え、令和元年11月5日に神奈川県平塚警察署司法警察員に告発しました。
告発の概要
被告発人 平塚市議会議員 渡部 亮
告発人 平塚市長 落合 克宏
告発先 平塚警察署
告発の理由
被告発人が、選挙用運動葉書を作成・発送するため、職務上知り得た個人情報を盗用したため。
違反条項
平塚市個人情報保護条例第63条
処分
10月21日付けで、横浜地方検察庁から不起訴処分となった旨の通知がありました。
不起訴処分となった理由については、理由の告知を請求し、10月21日付けで「嫌疑不十分」と告知がありました。
告発の概要
被告発人 平塚市議会議員 渡部 亮
告発人 平塚市長 落合 克宏
告発先 平塚警察署
告発の理由
被告発人が、選挙用運動葉書を作成・発送するため、職務上知り得た個人情報を盗用したため。
違反条項
平塚市個人情報保護条例第63条
処分
10月21日付けで、横浜地方検察庁から不起訴処分となった旨の通知がありました。
不起訴処分となった理由については、理由の告知を請求し、10月21日付けで「嫌疑不十分」と告知がありました。
損害賠償請求
本市元職員によって個人情報を持ち出されたこと等により、謝罪文書の送付の対応を余儀なくされ、損害を被った件について、令和2年3月24日に元職員(現平塚市議会議員)に対する損害賠償請求を横浜地方裁判所小田原支部に提訴しました。
その後、3回の口頭弁論と12回の進行協議を行い、裁判所からの和解勧試に応じ、令和4年3月25日に和解契約を締結しました。
被告 渡部 亮
請求の趣旨
被告は、原告に対し、金221万620円及びこれに対する本訴状送達の日の翌日から支払済まで法定利率による金員を支払え
訴訟費用は被告の負担とする
との判決並びに仮執行宣言を求める。
和解条項
原告及び被告は、被告の持ち出した情報の範囲、目的、その後の利用の有無等につき、なお主張の対立を残すものであるが、裁判所から以下のとおり和解勧試があったところ、双方ともにこれを了承し、下記条項による和解を成立させることに合意した。
被告は、原告に対し、本件解決金として、200万円の支払義務があることを認める。
被告は、原告に対し、前項の金員を、令和4年4月25日限り、「平塚市会計管理者」の普通預金口座に振り込む方法により支払う。この振込手数料は、被告の負担とする。
原告及び被告は、本件が解決したことを相互に確認し、今後、本件に関し、相手方に対する刑事告訴、刑事告発、検察審査会への審査申立て、行政上の処分を行わないことに合意する。
原告はその余の請求を棄却する。
原告及び被告は、原告と被告の間には、本件に関し、この和解条項に定めるもののほかに債権債務がないことを相互に確認する。
訴訟費用は各自の負担とする。
その後、3回の口頭弁論と12回の進行協議を行い、裁判所からの和解勧試に応じ、令和4年3月25日に和解契約を締結しました。
被告 渡部 亮
請求の趣旨
被告は、原告に対し、金221万620円及びこれに対する本訴状送達の日の翌日から支払済まで法定利率による金員を支払え
訴訟費用は被告の負担とする
との判決並びに仮執行宣言を求める。
和解条項
原告及び被告は、被告の持ち出した情報の範囲、目的、その後の利用の有無等につき、なお主張の対立を残すものであるが、裁判所から以下のとおり和解勧試があったところ、双方ともにこれを了承し、下記条項による和解を成立させることに合意した。
被告は、原告に対し、本件解決金として、200万円の支払義務があることを認める。
被告は、原告に対し、前項の金員を、令和4年4月25日限り、「平塚市会計管理者」の普通預金口座に振り込む方法により支払う。この振込手数料は、被告の負担とする。
原告及び被告は、本件が解決したことを相互に確認し、今後、本件に関し、相手方に対する刑事告訴、刑事告発、検察審査会への審査申立て、行政上の処分を行わないことに合意する。
原告はその余の請求を棄却する。
原告及び被告は、原告と被告の間には、本件に関し、この和解条項に定めるもののほかに債権債務がないことを相互に確認する。
訴訟費用は各自の負担とする。