ここ数か月の間、複数の自治体で、データの不正閲覧や改ざんを理由に、職員の懲戒処分が行われた。職員が他の職員のパスワードを不正に利用して、人事データを盗み見たり、出退勤の記録を改ざんしたりしたという。
不適切な行為を行った職員に非があるのはもちろんだが、こうしたことが起きないように問題点を明らかにし、対策をとることが大切だ。八幡平市の件では「職員のパスワード一覧」の存在、鳥羽市と東松島市の件では類推できるパスワードを使用していたこと、長浜市の件ではパスワードを当初設定の職員番号から変更していなかったことが公表されている。あなたの周りで同じことが行われていないか、確かめてみてはいかがだろうか。
■一時交付の管理者用PWを悪用、人事や給与情報を閲覧(八幡平市)
岩手県八幡平市は今月10日、男性職員(20代)を減給10分の1(1か月)の懲戒処分にしたと発表した。同職員は、一時的に交付された管理者用パスワードを利用目的以外で使用。閲覧することが許されていない人事や給与に関する資料などを閲覧したほか、職員のパスワード一覧を保存していたという。処分は3月12日付。
10日の岩手放送の報道、および11日付の岩手日報によると、同職員は2017年2月、業務のため1日限定で庁内ネットワークの管理者用パスワードを与えられ、閲覧が制限されている共有フォルダや、全職員の業務用パソコンのパスワード一覧を自分のパソコンに保存。その後1年間にわたり、別の職員に配布されたパスワードを使って、人事や給与に関する情報を閲覧していた。
・懲戒処分の公表[PDF](八幡平市)
http://www.city.hachimantai.lg.jp/30.3.12syobun.pdf
■古いID/PW一覧から他職員のPWを類推、人事や個人情報等を閲覧(鳥羽市)
三重県鳥羽市は今月2日、男性職員(20代)を、減給10分の1(6か月)の懲戒処分にしたと発表した。同職員は、他の職員のIDとパスワードを使用し、職員用メールおよび内部ネットワークに不正にアクセス。人事情報や個人情報等を閲覧、ダウンロードしたほか、一部を自身の業務用パソコンや携帯電話に保存していたという。処分は同日付。
3日付の三重新聞によると、同職員は所属する課の古いIDやパスワードの一覧を見て、別の課の職員のIDやパスワードを類推。判明しているだけで約40回の不正アクセスを行っていた。
・懲戒処分の公表[PDF](鳥羽市)
https://www.city.toba.mie.jp/jinji/documents/hodoshiryo.pdf
■サーバー管理者のPWを類推、人事異動の情報等を閲覧(東松島市)
宮城県東松島市は3月22日、男性職員(19歳)を戒告の懲戒処分としたと発表した。同職員はデータが集約されているファイルサーバーにアクセスし、他の職員が所有している人事に関する情報等を閲覧し、コピーして保存していたという。処分は同日付。
3月22日付の朝日新聞によると、職員はサーバーを管理する担当者のパスワードを類推して突き止め、人事異動の情報などを閲覧していた。市では4月1日付で予定していた異動を取り消し、改めて異動の作業をやり直した。この件では職員の上司2名も口頭注意の処分を受けている。
・東松島市職員の懲戒処分等の公表[PDF](東松島市)
http://www.city.higashimatsushima.miyagi.jp/topics_news/%E8%81%B7%E5%93%A1%E3%81%AE%E6%87%B2%E6%88%92%E5%87%A6%E5%88%86%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6.pdf
■上長のPWを悪用、出退勤等記録を改ざんして給与を不正受給(長浜市)
滋賀県長浜市は1月17日、学校給食センターの男性職員(35歳)を、停職(6か月)の懲戒処分にしたと発表した。処分は同日付。
同職員は給食センター所長のパスワードを不正に使用し、「出退勤等管理システム」において、有給休暇記録を削除して虚偽の出退勤記録を作成したほか、病気休暇等の特別休暇に改ざんすることで有給休暇日数の水増しを行い、規定日数以上の有給休暇を取得。これにより、実際には勤務していない日数分の給与66万円あまりを不正に受給していたという。センターの所長は、パスワードを当初設定の職員番号から変更していなかった。所長は減給10分の1(3か月)の処分を受けている。
・懲戒処分等の公表[PDF](長浜市)
http://www.city.nagahama.lg.jp/cmsfiles/contents/0000003/3758/kouhyou.pdf
(2018/04/16 ネットセキュリティニュース)