オランダ自治体がBSN番号など個人情報を繰り返し誤公開――問題は拡大傾向
行政文書の匿名化対策が追いつかず、漏洩報告は前年比60%増
オランダ複数の自治体が、住民のBSN(社会保障番号)やパスポート番号、氏名・住所・メールアドレスなどの個人情報をインターネット上に誤って公開していたことが、NOSとNieuwsuurの共同調査で明らかになった。個人情報保護当局(Autoriteit Persoonsgegevens、以下AP)が2017年にすでに注意を促していたにもかかわらず、問題は解消されていないどころか報告件数は増加傾向にある。
255件の文書にBSN番号――1件で43名分が露出
調査によると、公開文書のなかでBSN番号が確認されたケースは合計255件にのぼった。なかでも深刻なのがピナッカー=ノートドルプ市のケースで、新築住宅プロジェクトへの意見公募に応じた住民の文書1件に、43名分のBSN番号・氏名・住所・メールアドレスが含まれたまま公開されていた。
こうした情報漏洩が起きる背景には、「開かれた政府法(Wet Open Overheid)」に基づく行政文書の公開義務がある。許認可申請や都市計画への意見書など、住民が自治体に提出した文書を公開する際は、個人情報を「黒塗り(匿名化)」しなければならない。しかし作業が不十分であったり、担当職員による確認が機能していないケースが後を絶たない。APの広報担当者は「BSNの誤公開は原則としてデータ漏洩にあたる」と明言しており、身元詐称などのなりすまし犯罪につながるリスクも警告している。
報告件数は前年比60%増、専用予算はゼロ
APが自治体から受けた誤公開報告の件数は、昨年の75件から今年すでに120件超へと急増している。APは「実態はさらに大きい可能性が高い」としており、今回の調査はBSN番号やパスポート番号など明らかに公開不可の情報に絞って行われたものにすぎない。住所や氏名だけでもデータ漏洩と見なされうることを踏まえると、潜在的な問題の規模はさらに広がる。
自治体の連合体VNGは「各自治体は調査結果を非常に深刻に受け止めている。個人情報は適切に保護されなければならない」とコメントし、連絡を受けた自治体の多くがすでに問題の文書を削除または非公開化したとしている。一方で、数百万件にのぼる既存文書の匿名化作業に充てる専用予算は確保されていないのが実情で、構造的な解決策はいまだ見えていない。
ソフトウェアにも限界、責任の所在は曖昧なまま
2018年のGDPR施行以降、多くの自治体は個人情報を自動的に黒塗りするソフトウェアを導入し、その後に職員が最終確認を行うという手順を設けている。しかし議会情報システムを提供するNotubizは「当社はアプリケーションを提供するのみであり、顧客が掲載するコンテンツの内容については責任を負わない」と述べており、アップロード前の自動チェック機能は実装されていないという。競合他社のiBabsはNOSとNieuwsuurの取材には応じなかった。
なお、今回確認されたBSN番号を含む文書の大多数は2016〜2017年に公開されたものだが、厳格なプライバシー規制が導入された2018年以降も同様の誤公開が99件発生している。オランダに住む日本人にとっても、BSNは行政手続きや銀行口座開設など生活のあらゆる場面に関わる番号だ。自分の情報が意図せず公開されていないか、居住する自治体のウェブサイトで確認することも一つの手段となるだろう。
広告掲載にご興味のある方は こちら
情報源: NOS Algemeen


