尼崎市「泥酔USB紛失事件」のてんまつ、こんなひどい報告書を読んだのは初めてだ
木村 岳史 日経クロステック／日経コンピュータ
2022.12.12
全6286文字
PR

　客によるITベンダーへの丸投げと、人月商売にありがちなITベンダーによる現場丸投げのなれの果てだな。調査報告書に目を通して、そんな感想を持った。何の話かというと、兵庫県尼崎市で再々委託先の技術者が泥酔してUSBメモリーを一時紛失し、そこに保存されていた全市民の個人情報を漏洩の危機にさらした例の事件の報告書である。ただもう1つ別の感想がある。「こんなひどい報告書を読んだのは初めてだ」。

　この報告書は尼崎市が2022年11月28日に公表した直後に読んだ。人月商売のIT業界と客のIT部門などのアカンところを徹底的にえぐり出して、悔い改めてもらうことを仕事の本分と心得ている私だから、当然のことだ。で、読み始めたのだが、いろんな意味で「何じゃこりゃ」とあきれてしまった。BIPROGY（旧日本ユニシス）の客先、尼崎市の現場は、人月商売にありがちとはいえ、やりたい放題。尼崎市は究極の丸投げでベンダーマネジメントのかけらもない。報告書は報告書で、根本的な原因究明に関する記述が皆無に近い。

　そんな訳で、即座にこの「極言暴論」で記事にしようと考えていた。つまり、1週間早くこの記事を書こうと考えていたわけだ。だが、いったん見送った。理由は極めてシンプルで、後輩記者がこの報告書を基にした検証記事を書こうとしていたからだ。それならば、まずは若手に独自取材も盛り込んだ記事を書いてもらい、それを踏まえたうえで暴論を展開するのが、話の順序として正しい。で、12月2日に公開されたこの記事は、報告の内容を基に尼崎市などの問題点を的確に指摘しているので、一読することをお勧めする。

関連記事
「尼崎市は発注者としての義務を果たしたか」、USB紛失事案の報告書を読み解く
　さて、話の前提としてBIPROGYの客先におけるやりたい放題をごく簡潔に記しておこう。契約内容を無視して、再委託先や再々委託先の技術者に「BIPROGY従業員であるかのように市職員と接するように」と指示し、サーバールームへの入退出管理カードもBIPROGY従業員として取得。市民の個人情報をUSBメモリーで持ち出して無断で開発作業に利用し、パスワードの設定やデータ消去の確認なども含めUSBメモリーの管理もずさんそのもの。こうしたやりたい放題の数々については報告書が克明に報告している。

　その揚げ句、BIPROGY従業員に「偽装」した技術者が、全市民の個人情報が入ったUSBメモリーを持ったまま皆で飲みに行き……と、ちょっとあり得ない大事件を引き起こすのだから、そりゃBIPROGYはありったけの非難を受けるのも当然だ。実際、報告書でも「意図的組織的」といった言葉で、BIPROGY（と再委託先や再々委託先）の技術者たちを「確信犯」として描いている。

　確かに確信犯であるのは間違いない。私もそう断定する。だが、人月商売のIT業界では、客先常駐の技術者が所属企業を偽ることなどは「あるある」でもある。もちろん、それをもって免罪しようというわけではないぞ。問題はなぜそんなことをしたのかだが、報告書は何も語っていない。BIPROGYの上層部の認識や関与も不明のままだ。尼崎市にしても情報セキュリティーはザルそのものので、ベンダーマネジメントも無きがごとしなのだが、何でそこまでひどいのかについて何も究明していない。だから「ひどい報告書」なのだ。

この記事は会員登録で続きをご覧いただけます。次ペ