「のぞき見できるものなら…」他人の人事情報に禁断の不正アクセス 職員連続立件の背景に甘いセキュリティー

衝撃事件の核心
不正アクセス禁止法違反容疑で職員2人が摘発された大阪府富田林市役所。他人の人事情報をのぞき見したい―。軽い気持ちから始めた行為は取り返しのつかない結果を招いた=大阪府富田林市

 「人事情報が気になって…」。別の職員になりすまし、市役所の内部ネットワークにアクセスしたとして、大阪府富田林市の職員2人が8~9月、不正アクセス禁止法違反の疑いで、大阪府警サイバー犯罪対策課に相次いで摘発された。他部署の職員のIDとパスワードを入手した2人は、限られた職員しかアクセスできない他人や自分の人事評価といった内部情報を過去数年にわたって〝のぞき見〟していた。もちろん許されるはずのない「禁断の行為」だが、事件を通じて見えてきたのは、やろうと思えば簡単に内部情報にアクセスできてしまう市の管理体制の甘さだった。

2年で430回アクセス

 一連の事件で最初に不正が発覚した職員は、市こども未来室副主任の男(61)だ。8月8日、市役所の内部ネットワークに他の職員のIDで不正アクセスした疑いで府警に逮捕された。「個人的に興味がある資料を見たくて5年ぐらい前からやっていた」と容疑を認めている。

 府警によると、副主任は少なくとも平成27年7月から2年間、人事課など複数部署の職員のIDやパスワードを無断で使い、内部ネットワークに約430回にわたってアクセス。職員の人事異動や懲戒処分の情報をコピーし、自宅で閲覧していた。通信記録が過去2年分しか残っておらず、27年以前の分は裏付けが取れなかった。

 なぜ、他部署の職員のIDやパスワードが手に入ったのか。

 実はIDは職員番号で、市職員であれば簡単に入手できたのだ。一方でパスワードもIDに複数の数字を合わせただけという単純な仕組みだった。

 副主任は「付け足す数字は推測して入力した」と供述。職員番号に生年月日などを組み合わせれば、他の職員のパスワードも〝盗み出す〟ことができたわけだ。

 この仕組みについて、市幹部は「どの職員でも、内部情報をのぞき見しようと思えばできたかもしれない」と話した。

〝悪魔のささやき〟

 たとえ法に触れたとしても「のぞき見」できるものなら見てみたい-。そんな“悪魔のささやき”に負けてしまった理由の一つは、副主任の置かれた立場にあったようだ。

 副主任は今年春に定年となり、再任用という形で働いていた。富田林市役所の職員数は約950人だが、そのうち約70人が60歳以上の再任用職員という。

 再任用職員は1年ごとに契約が更新され、最長65歳まで働くことが可能。更新できるか否かは人事課の面接と所属部署の責任者・所属長の評価が鍵を握る。

 市幹部は「だからこそ、自分がどのような評価を受けているのか気になったのではないか」と推測する。

 実際、副主任は市の聞き取り調査に対し、「自分が(来年春に)再任用されるのか気になった。自分の人事の処遇が気になった」などと説明した。結局、副主任は略式起訴後、来春の任期いっぱいまで停職の懲戒処分を受けた。

 ある職員は「この状況で再任用されるのは難しいだろう」と話した。

「職員間の苦情に興味」

 副主任の問題が発覚したのは今年7月中旬。午前9時の始業前から副主任がパソコンを頻繁に触っているのを不審に思った他の職員が、上司に相談したのが発覚のきっかけだった。しかし、市が内部調査を始めたところ、不正が判明したのは副主任一人だけではなかった。

 2人目の職員として浮上したのが市総合事務室の課長代理の男(47)。内部調査で課長代理の不正も把握した市は、副主任が逮捕される直前の8月3日、課長代理の問題についても府警に相談した。

 府警は逮捕した副主任の取り調べと並行し、課長代理も任意で事情を聴くなどして捜査。この結果、課長代理も人事課の男性職員一人のIDとパスワードを使い続け、47回にわたって人事課のフォルダを閲覧していた疑いがあるとして、9月8日に書類送検した。

 府警の調べに対し、課長代理は「人事異動や職員間の苦情処理がどうなっているか興味があり、3年ぐらい前からやっていた」と容疑を認めた。

 課長代理が事件を起こした背景に、過去の経歴が影響したことは否めない。

 課長代理は平成10年春から24年春までの14年間、市の情報管理課(現・政策推進課)に所属していた。この部門は市役所のコンピューターシステムを管理する役割を担っている。ただ、人事情報を含む市のあらゆるデータ類を閲覧することが可能だった。

 「市役所のデータを見ることができるのは当たり前だと思っていた。自分は『見ていい立場』だと思っていた」。26年春以降、立場の異なる総合事務室に所属していたにもかかわらず、課長代理は市の聞き取り調査に対し、そう釈明したとされる。

 14年もの歳月を特別な部署で過ごしたことが仇になったのか。市の担当者は「(情報管理課は)専門性の高い部署なので『10年選手』は多くいる」と説明する一方、調査に当たった市幹部は「彼の慢心が原因といわれても仕方がない」と語った。

 課長代理は書類送検前日の9月7日、停職6カ月の懲戒処分を受け、そのまま依願退職した。

数字のみだったパスワードに英文字も

 昨今、海外からのサイバー攻撃が増加しており、通販サイトやSNS(ソーシャル・ネットワーキング・サービス)などでも、パスワードの定期的な変更が推奨されている。

 にもかかわらず、市民の個人情報を扱う市役所のネットワークが簡単に推測できるパスワードでアクセスできる状態だったことは、セキュリティーが極めて脆弱だったと言わざるを得ない。

 市幹部も「(今回の事件は)非常に残念であると同時に、システム管理の甘さがあったと思う」と、長年にわたってずさんな管理体制が続いていたことを認めた。市は不正発覚後、再発防止策として、数字だけで構成していたパスワードを、数字と英文字を組み合わせたものに変更した。

 「自分の処遇は…」「見てもいい立場なので…」。背景は違えども2人の起こした事件は市に大きな傷と教訓を残した。