福岡県が管理していた県内の新型コロナウイルス感染者に関する情報が、1ヶ月以上にわたって、ネット上に公開されていたことが判明したというニュースが流れた。
そこで今回の経緯と、本当に県庁だけが悪いのかという点について、整理してみた。
経緯を整理してみる
令和2年4月
- 福岡県が、県内の新型コロナ陽性者の入院調整のため、調整本部が作成した陽性者のデータを医療関係者間においてクラウドサービス上(グーグルドライブ)で共有を開始
- クラウドは、調整本部から送られた特定のURL指定によりフォルダに直接アクセスするか、又は調整本部からアクセス権を付与された者しか利用できないように設定
去年11月30日
- 調整本部から医療関係者1名へ患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信したつもりが、県外に住む男性のアドレス宛に誤送信
- 同日、誤送信を受けた男性から「宛先を間違っている」と調整本部に連絡があり、即日、上記ファイルが含まれるフォルダについて同男性のアクセス制限対応を実施
- しかし個別のファイルへのアクセス制限がなされていなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続していた。(県庁側の設定ミス)
令和3年1月6日
- 誤送信を受けた男性が報道機関に情報をリーク。
- 一部報道機関から福岡県庁への取材により、個人情報の漏えいが発覚。
- 福岡県庁が、クラウド上にアップロードしているファイルを全て削除。
- 現在、全ての者が閲覧できない状態に。
そして現在は、すべてFAXで対応しているとのことだ。
情報は真っ裸でネットに公開されていた訳ではない
この新聞記事やテレビのニュース報道等には大きな虚偽がある。
「患者の情報がネット上で公開されていること」が分かりました
という事実はないということだ。
クラウドサービス(グーグルドライブ)が使われたということだが、セキュリティ対策を取っているため、「調整本部から送られた特定のURL指定によりフォルダに直接アクセスするか、又は調整本部からアクセス権を付与された者しか利用できない」状態になっているにも関わらず、「ネット上で公開されている」と表現したことだ。
例えば、現在、インターネットバンキング、ネット納税など、いろいろなものがネットを通じて行われているが、それぞれID、パスワードなどで管理されているため、アクセス制限しているものを「ネット上で公開されている」と表現することはない。
ネット上で公開された記者レクチャーを見た人ならわかるが、福岡県の不幸は、レクチャーの際に、クラウド管理についての知識がない記者が質問し、ネット技術に明るくない県の担当者が説明しているという点だ。不幸にも、わかっているものが聞いたらかなりトンチンカンな質疑が繰り返されたのだ。
「特定のURL指定」という表現が微妙だが、真っ裸でさらしている訳ではないようだ。
ネット上でもいけないことはいけない
このニュースを聞いて不思議に思ったことがある。
福岡県庁は煩雑なコロナ患者の入院調整等を保健所と病院側等で調整しやすいようにクラウドサービスを使っていたということだが、これをネット上ではなく、通常の社会にあてはめてみるとわかりやすくなるので説明してみる。
- 福岡県庁職員は医師らとの情報共有をしやすくするために共同で使えるシェアオフィスを借りて、そこに福岡県庁職員、病院、保健所の人が自由に集まって、入院調整をしていた。
- しかし福岡県庁の職員は、医者に渡すつもりのシェアオフィスのドアのキーナンバーをうっかりと別の人Aさんに渡してしまった。
- 間違ってドアのキーナンバーを受け取ったAさんは「間違っていますよ」と福岡県庁の職員に教えていた。(しかしキーナンバーは変わらなかった)
- 間違ってドアのキーナンバーを受け取ったAさんは、時々、シェアオフィスに行きキーナンバーを変えたかな?とシェアオフィスに入っていたが、福岡県庁の職員はドアのキーナンバーを変えておらず、Aさんは、いつまで経ってもシェアオフィスに入れていた。
- そしてAさんは、シェアオフィスの中にあった個人情報ファイルの写真を撮影し「福岡県のキーナンバーの管理がなっていない」とテレビ局等に撮影した個人情報ファイルの写真を情報提供した
ということになる。
「3」の時に「間違って送ってますよ」と言われたときにドアのキーナンバーを変えなかった福岡県庁職員の管理も問題となるが、
その部屋に入れる権利がないことを知りながら、何度もシェアオフィスに入って、しかも置いていた個人情報ファイルを見続けたAさんの行動も問題となる。
更に、その個人情報が記載された写真を、個人情報の権利者である9500人の個々人の許可なく撮影し、テレビ局等に送っているのだ。
実は、その情報を受けて、もしテレビ局も教えてもらったキーナンバーでこっそりとシェアオフィスに入っていたら、それも問題となる。
不正アクセス行為の禁止等に関する法律
「不正アクセス禁止法」という法律があり、今回の事案はこれに抵触することになる。
平成12年2月13日に施行された、アクセス権限のないコンピューターネットワークに侵入したりすることなどを禁止する法律だ。
ネットの特殊性からできた法律なのだが、
一部抜粋すると
(不正アクセス行為の禁止)
第三条 何人も、不正アクセス行為をしてはならない。(不正アクセス行為を助長する行為の禁止)
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。(他人の識別符号を不正に保管する行為の禁止)
第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。
つまり、誤送信を受け取った人は、
自分には権利がないと知りながら再度アクセスしたこと(第三条違反)
権利者でないテレビ局にアクセスキーを教えたこと(第四条違反)
再度アクセスができるか確認するために、送られてきたURL等を保管していたこと(第六条違反)
ということで、三年以下の懲役又は百万円以下の罰金(三条違反)等に値する罪となる可能性があるのだ。
結果として
よく新型コロナウイルス感染症の説明をする際に「正しく恐れて」という言葉を聞く。
ネット上やワイドショーなどの中途半端な知識で、必要以上に新型コロナウイルスを恐れたり、感染した人を非難したりしないようにするための決まり文句だ。
現在、感染拡大の中で、4月から福岡県庁、保健所、医療機関が入院調整のために使っていた仕組みをやめ、FAXでやり取りしているという。
問題はクラウドサービスという仕組みが悪いのではなく、アクセス権限の付与の仕方、データの取り扱いのところでの問題であり、膨大なデータのやり取りをFAXで行えば、また違ったところで誤送信や記載ミス等の問題が発生する可能性もある。
福岡県庁の上部の人たちにクラウドサービスを説明することは非常に困難だと思うが、今回の問題発生のようなことを正しく恐れて、より使いやすいクラウドサービス等を構築して欲しいと思う。
また今回の問題には、もしかすると誤送信された人が県庁に対してお金を請求していたとか、脅していて金額交渉のもつれでテレビ局に公開したといった、別の問題が隠れているのかもしれない。(あくまでも想像だが)
テレビ局も単に体制批判ばかりするのではなく、不正アクセス防止の観点から、再度報道することを真に求めたい。
