日本尼崎市外包商因遺失存放46萬民眾個資的USB儲存裝置釀風波，業務未經授權被層層分包成資安隱憂

日本兵庫縣尼崎市政府在6月下旬，發生一起資料外洩事件，是市府委外業者發生疏失，其員工將46萬民眾個資存放USB隨身碟攜出以轉移資料，直到隨身碟遺失，市府召開記者會，使此事曝光，且整起事件持續引發熱議。

在6月23日中午，尼崎市政府與資訊服務公司Biprogy召開記者會坦承過失，Biprogy亦在同日於自家公司網站，發布資安事件公告說明這次資料外洩情況，儘管隨身碟的檔案有加密保護，隔日24日也被當地警方尋回，資料看似未有外流情況，然而，這起事件公開揭露之際，還發生官員缺乏資安意識不足，在尋回USB隨身碟之前，於直播記者會上洩漏密碼線索資訊，橫生其他爭端，後續更揭開資訊業者可能違反合約，並有工作層層轉包給其他廠商的離譜情況。

此事件受到多家國際新聞媒體的報導，不過，該如何確保各種IT業務委外之後的資安，更是大家應該關心的重點。

外包商相關職員擅自攜出46萬民眾個資的隨身碟，發生裝置遺失狀況

這起事件最初主要是尼崎市政府為了因應疫情，向市民發放特別福利津貼，承攬市府業務的Biprogy關西分公司，派出相關員工執行工作時出包，在6月21日下午5時，負責此事的人員將這批資料存放到個人USB隨身碟，打算帶至大阪吹田市進行資料轉移作業，在完成工作後，該職員與另外3名工作同事前往餐廳吃飯喝酒，直到晚間10時30分散會。

隔日凌晨3點，該職員發現自己醉倒在大街上，並意識到攜帶的背包與USB隨身碟遺失，因此向公司請假，尋找未果後向警方報案，並於下午2時通知Biprogy，隨後公司進行調查，並於晚間9時向尼崎市政府報告。

尼崎市官員指出，該員工未經許可將敏感資料以隨身碟帶出辦公室，有明顯缺失，而且，工作結束後也未立即刪除隨身碟的資料。Biprogy亦公布事件影響範圍，可能洩漏的個人資訊，包含：46.5萬市民個資、36.5萬市民稅務資料，以及7萬件領取福利與兒童津貼家庭的銀行帳戶號碼等。他們強調，該USB隨身碟有密碼保護，內容也都經過加密。

但官員在23日記者會接受媒體提問時，又犯了另一個重大錯誤。面對記者追問USB密碼設定的複雜度時，他們未警覺自己發言內容的可公開程度及資安風險，在USB尚未尋回的狀況下，竟不設防地透露了更多線索，而引發民眾抨擊。

例如，媒體一開始問到密碼的組成，是否為只有4位數字的簡單密碼？官員回答當中有13位英數字；接下來，他們問到：密碼採亂數是否可能造成麻煩？官員回答是由有意義的英文單字，加上有意義4位數字組成；關於密碼是否使用「password」這類簡易單字的問題，官員表示，是對尼崎市來說有意義的單字；最後媒體又問到密碼是否有大寫？官員回答首字大寫。這樣的消息傳出，由於尼崎的拼音為Amagasaki，這讓日本民眾紛紛猜測，密碼很可能是Amagasaki2022。

在23日的記者會上，由於尼崎市政府官員回答USB密碼安全強度問題時，透露密碼不容易被猜到，卻提供了相當多且明確的線索。（圖片來源擷取自NTV NEWS24）

這讓不少日本網友紛紛猜測密碼很可能就是，Amagasaki2022，因為尼崎市的拼音就是Amagasaki。（圖片來源擷取自Twitter）

Biprogy列出4大問題癥結，說明發生過失的原因

對於這次事件的來龍去脈，Biprogy在24日於官方網站，發出此事件的第二份資安事件公告，該公司坦承，原因出在未按照資訊安全規範操作程序手冊行動，也未經過尼崎市政府確認。

他們同時列出四大問題癥結：一、資料移轉的審核程序未能落實，由於Biprogy並未說明資料轉移的具體方法與電子媒介，因此尼崎市政府不知道會使用USB隨身碟來轉移資料；第二應使用有保障的物流運輸公司，而不是由個人攜帶；第三，完成工作後，USB隨身碟中的資料應該立即刪除，負責執行的員工缺乏這方面的指示與確認；第四，工作結束後USB隨身碟就應該保存到指定的地方，但這方面並沒有相關指示與確認。即便他們對外公開檢討自己犯錯的原因，但並未解釋為何要選擇用隨身碟來轉移資料。

在因應方式上，Biprogy為了找到疑似遺失的包包，派出員工四處搜尋，同時向警方提交遺失報告，向當地行政機關日本個人情報保護委員會報告此事件，並且透過電信業者確認包包中手機位置，以及監控暗網是否有相關資料外流，並說明改善方式，將從管理、營運與訓練三大面向，改善自身公司安全。

政府發包業務竟被委外業者轉包，甚至分包商又再轉包

另一值得關注的焦點是，這次事件的發生，也揭開委外業者擅自外包帶來的資安隱憂。

根據Biprogy公司在6月24日的公告內容，遺失USB隨身碟的關係員工，是分包商的員工，因此不是外傳的尼崎市政府職員，而在記者會上，該公司其實曾透露此人是另一家IT廠商Aifront（株式会社アイフロント）的員工。

到了26日，Biprogy發出更正說明，出現另一個意外的轉折，那就是指出他們將這次相關業務外包給Aifront公司，並解釋了該關係員工的身分，其實是屬於Aifront公司的分包商，因此，這也意味著，遺失隨身碟的人員其實也不是Aifront的員工。

換言之，原本這項特別福利津貼發放業務是由市政府委外給Biprogy，而Biprogy接下案子後，卻擅自將業務委給Aifront，而Aifront又將這部分工作委托另一家公司的人員處理。

然而，這次事件引發的風暴還不是上述兩個狀況。根據日本經濟新聞（Nikkei）在6月27日的報導，尼崎市臨時福利辦公室負責人表示，根據尼崎市與Biprogy的合約，如果Biprogy要將業務分包給第三方，需事先獲得市政府批准。而另一位尼崎市的官員表示，他們並沒有被告知Aifront已將工作外包給另一家公司。

後續，日本時事新聞社（Jiji Tsūshinsha）報導則指出，尼崎市市長稻村和美在28日表示，將仔細審查此事，並會針對承包商採取適當行動，接下來將成立第三方委員會，並會在調查後考慮是否提出賠償要求。

在資訊服務業者Biprogy的官方網站上，自6月23日即發布了針對這次USB遺失造成46萬市民個資外洩的資安事件公告，並在後續陸續更新相關消息，包括24日公布初步調查結果的說明，24日公布USB已經尋回，以及在26日發布資訊更正消息。

在Biprogy在6月24日發布的第二份資料外洩事件公告中，說明了更多初步調查結果、目前行動與未來因應方式，當中也詳細記錄這次事件發生的過程。

簡單來說，一開始是在16日的每週例行會議上決定資料更新作業，到了21日下午5時，由分包商員工將帶有46萬市民的資料存放到USB隨身碟，前往水田市進行資料移轉。

在下午7時30分，作業完成，該職員便與另外3名同仁一同用餐喝酒，直到晚間10時30分散會。

隔日22日凌晨3時，當事人發現自己睡在大街，並意識到遺失了背包與USB隨身碟，之後向公司請假，直到22日下午2時才通知公司。Biprogy則在晚上9時向尼崎市政府報告。

接下來，23日早上11時，尼崎市政府召開記者會並向市民道歉，Biprogy於12時在市政府要求下，參與聯合記者會並說明原委。