尼崎市USBメモリー紛失問題 大炎上した情報サービス会社「BIPROGY」の正体(有森隆)
兵庫県尼崎市の全市民約46万人の個人情報が入ったUSBメモリーが一時紛失したスキャンダルで、市から業務委託された情報サービス会社BIPROGY(ビプロジー)が大炎上している。
■4月に日本ユニシスから社名変更したばかり
ビプロジーは聞き慣れない社名だと首をかしげる向きがほとんどだったろうが、4月1日に日本ユニシスから社名変更したばかりの会社だ。新しい会社は発足ほやほやでの醜聞となった。
社名のBIPROGYは光が屈折・反射したときに見える7色(青、藍、紫、赤、橙、緑、黄)の英語の頭文字をとった造語。「さまざまなビジネスパートナーや多種多様な人々がもつ光彩を掛け合わせ、混沌とした社会の中で新たな道を照らし出す」といった意味を込めた。
今回の“事件”は7色の光が乱反射したようだ。
これまでの尼崎市などの説明によると、ビプロジー関西支社が市から新型コロナウイルスの給付金支給業務を受託し、別の会社に再委託していた。再委託された会社が下請けに丸投げし、その社員が、市の許可を得ずに全市民の個人情報が入ったデータをUSBに複製して持ち出していた。あろうことか、6月21日、大阪府吹田市の居酒屋で約3時間飲酒。酔って記憶をなくして路上に眠り込み、22日未明にUSBが入ったかばんの紛失に気付いた。かばんは24日に居酒屋から少し離れた吹田市のマンションの敷地内で見つかった。
ビプロジーは26日、「紛失したのは再委託先の社員」としてきた説明をひるがえし、実際には、再委託先からさらに委託を受けた企業の社員だった。再委託は市の許可が必要と定められているが、市は「再委託、再々委託のいずれもビプロジー側から報告がなかった」としている。
ビプロジーは再々委託を知っていたのだろうか。
ビプロジーの平岡昭良社長(66)は2016年に社長に就任した生え抜き。自前でシステムを構築する受け身型のビジネスモデルから提案型の営業に転換した。はっきり言う。受注したITサービスの業務を外部に委託するアウトソーシング方式で収益を高めるというやり方だ。このビジネスモデルが尼崎市で墓穴を掘ったのだから笑えない。
「建設業界は元受け、下請け、孫請け、ひ孫請けのピラミッド構造になっている。実は、IT業界もまるっきり同じ。業務を丸投げするのが“常識”だ。この丸投げのほころびが露呈したかたちだ」(IT業界担当のアナリスト)
ビプロジーの歴史は古い。1958年、米ユニシスと三井物産の合弁企業として発足。2006年に米ユニシスとの資本関係は解消。三井物産も12年に保有株を売却して手を引いた。現在、大日本印刷が20.63%を保有する筆頭株主だ。
尼崎市の稲村和美市長(49)は「契約違反があった」との見解を示し、一連の経緯を「損害賠償請求を検討する」と話している。平岡社長の首は風前のともしびだ。
「最も物議を醸したNHK会長」と評された籾井勝人氏も元日本ユニシス社長だった。籾井氏は三井物産副社長から日本ユニシスに天下り、社長になった人だった。
平岡社長は籾井元社長と肩を並べる有名人(!?)になった。
USBメモリー紛失業者、30年以上の「ベンダー・ロックイン」
兵庫県尼崎市の全市民の個人情報が入ったUSBメモリーが一時紛失した問題で、情報システム会社「BIPROGY(ビプロジー)」(旧日本ユニシス)が、市の住民情報を管理するシステムを開発し、30年以上関連業務を受託していたことがわかった。特定業者によるIT業務の囲い込みは「ベンダー・ロックイン」と呼ばれ、発注側のチェックの甘さにつながると指摘されており、市の第三者委員会が経緯を検証する。
市などによると、市はコロナ禍に伴う「臨時特別給付金」の業務をビプロジーに委託。同社の2次下請けにあたる会社の40歳代の社員が6月21日、全市民約46万人分の個人情報をUSBに移して市から持ち出し、大阪府吹田市で作業後に飲酒し、紛失した。USBは24日、同市内で見つかった。
個人情報を持ち出したのは、同市のコールセンターで住民の問い合わせ対応に使うためで、尼崎市は持ち出し自体は許可していた。しかし、日時や方法、持ち出す情報の中身を確認せず、ビプロジーが業務を再委託や再々委託していたことも把握していなかった。
同社は、30年以上前から、市の住民の個人情報を管理するシステムの中核部分を開発し、更新や運用も随意契約で受注。このほか、関連する業務も請け負っていた。市は約5年前から同社への業務集中を解消するため、他社への切り替えを進めてきたが、住民情報などを扱う基盤システムに関する業務は「他社では困難」として、同社が担い続けているという。
市は、今回の臨時特別給付金の業務についても、迅速に給付する必要があるとして、基盤システムを扱い、20年に国民1人あたり10万円が支給された「特別定額給付金」の業務を随意契約で委託していた同社に随意契約で発注していた。契約金額は約3億5800万円だった。
USBを紛失した再々委託先の社員は約20年にわたって市のシステムに携わっていた。市の担当者は数年ごとに異動するため、社員から仕事を教わることもあった。また、社員は住民情報を管理するシステムのIDやパスワードも付与され、データを取り出せる立場だった。紛失したUSBに個人情報を移して持ち出す際も、市の担当者は立ち会っていなかった。
ビプロジーはこの社員を自社の社員だとして市に届け出ており、市も同社の社員だと認識していたという。
市にITの専門知識がある職員が少なく、市幹部は「長年の契約で『慣れ』があった。業者任せと言われても仕方がない」と語った。
問題発覚後、市には苦情や問い合わせが3万3000件以上寄せられている。市は1日、情報セキュリティーの専門家らでつくる第三者委員会を設置。今後、原因解明とともに再発防止策を検討する。
99%既存業者と再契約
公正取引委員会は今年2月、「ベンダー・ロックイン」に関する初の実態調査結果を公表した。
調査は国や自治体約1800機関を対象に実施され、回答があった約1000機関の98・9%がシステムの改修や更新時に既存業者と再契約したと回答。理由として48・3%が「業者しかシステムの詳細を把握できない」、24・3%が「システムの権利が業者に帰属している」を挙げた。
立命館大の上原哲太郎教授(情報セキュリティー)は「自治体の職員は頻繁に異動があり、IT知識も乏しいことが多く、業者に任せきりにすることがある。尼崎市と同様の問題は他の自治体でも起こりうる。しかし、住民の個人情報を守る責任があるのは自治体で、業者を適切に管理する必要がある。職員への研修を強化し、IT人材を育成するべきだ」と指摘している。
◆ベンダー・ロックイン=特定の業者(ベンダー)の技術に依存したシステムを採用した結果、他の業者への乗り換えが困難になり、特定業者に依存せざるを得ない状態になること。競争が働かずにコストが増す弊害があるとされる。
尼崎USB紛失、市に無断で3社が再委託業務…市は「ビプロジー」社に賠償請求方針
兵庫県尼崎市の全市民約46万人分の個人情報が入ったUSBメモリーが一時紛失した問題で、市から業務委託された情報システム会社「BIPROGY(ビプロジー)」(旧・日本ユニシス)が、市に無断で別の会社に業務の一部を再委託し、市が把握していない3社が業務に関わっていたことがわかった。
ビプロジーはコロナ禍に伴う「臨時特別給付金」の業務を市から受託。個人情報を扱う業務であり、再委託する場合は市に許可を得る契約になっていたが、無断で2社に委託、うち1社がさらに別の会社に委託していた。
USBメモリーを使ってデータ移行する作業は21日、計4人で実施。2人はビプロジーの社員だったが、他の2人は再委託先の従業員と、再々委託先の社員だった。この再々委託先の社員が作業完了後、USBのデータを消去せずに持ち出し、紛失した。
ビプロジーは、今回の業務以外にも市の個人情報を管理する市政情報センターの業務を委託されていた。今回、USBを紛失した再々委託先の社員も以前から関わっており、ビプロジーは自社の社員として市に届け出ていたという。
ビプロジーの担当者は「弊社の怠慢から、再委託の許可を市に申請していなかった」と話した。
尼崎市の稲村和美市長は27日、報道陣に対し「契約違反だ」と述べ、ビプロジーに損害賠償を請求する考えを明らかにした。
