ガバナンス不全により懲戒処分
RocketBoysによると『2025年3月、宮城県において、複数の職員が業務用情報共有ツールに不正アクセスし、人事情報や業務会話を不正閲覧していた事実が発覚しました。5名の職員が懲戒処分を受ける事態となり、県は住民に対して謝罪しました。』と報道した。
報道では『宮城県によると、本庁および地方機関に勤務していた人物で、職務上知り得た情報共有ツール「チャットラック」の管理者IDとパスワードを使い、業務とは無関係な人事情報や会話ログを不正に閲覧しており、その不正行為は約2年半にわたり継続され、最終的には380件を超えるファイルがダウンロードされたとのことです。県の行政管理室に「会話内容が見られているのではないか」との申告をきっかけに調査が行われ、不正が発覚しました。』と報じた
申告をキッカケとして調査が行われたという事で、それまで2年間もの間、監査らしい事も行われいなかったという事でしょう。
情報セキュリティに関しても、同様の状態であろう事は容易に予想できます。
一般的には県知事を頂点するガバナンス管理が行われておらず、管理者アカウントの使いまわしやアクセスログの監査といった基本的なマネジメントも行われていなかったようです。
個人の倫理観に頼る県庁のガバナンス不全が、結果として職員の懲戒処分を生んだとも言え、当事者の処分だけが発表されていますが、根本的な部分は放置されている様です。
https://rocket-boys.co.jp/security-measures-lab/miyagi-staff-abused-admin-id-accessed-hr-chat-data/
宮城県の職員が管理者IDで不正アクセス、人事情報や会話の内容を閲覧した職員5人を処分
https://www3.nhk.or.jp/tohoku-news/20250328/6000030695.html
人事情報など不正閲覧繰り返す 県職員5人を減給の懲戒処分
« 内部不正対策の基本の大切さ | トップページ | 日本が今、最も狙われている »
「column」カテゴリの記事
- 求人サイトの管理パスワードが「123456」(2025.07.18)
- QRコードを利用したフィッシングは「クイッシング」(2025.07.16)
- 攻撃が予告されているのに...(2025.07.07)
- ドメインを勝手に放棄すると詐欺に加担する?(2025.07.03)
- 削除型ランサム(2025.06.16)
コメント