概要
沖縄県浦添市は2026年5月29日(6月3日追記)、ヘルプデスク業務委託先の従業員が業務用ノートパソコンを窃取したとして盗難容疑で逮捕されたと発表しました。全庁調査の結果 ノートPC 83台が所在不明であることが判明。当初「個人情報の含まれる端末はない」としていたが、後の調査で3台に浦添市全住民 115,526件の個人情報(2025年11月17日時点)および定額減税補足給付金申請者 112件の情報(口座番号含む)が保存されていたことが判明しました。個人情報の不正利用など二次被害は現時点で確認されていません。
目次
1. 何が起きたか
沖縄県浦添市(人口約 11.5 万人)において、ヘルプデスク業務を委託していた事業者の従業員が業務用ノートパソコンを繰り返し窃取していたことが判明し、盗難容疑で逮捕されました。全庁調査の結果、合計 83 台のノートPCが所在不明であることが確認されています。
事案のタイムライン
| 時期 | 出来事 |
|---|---|
| 2025年4月 | 業務用ノートPC 1,400 台のリース(賃貸借)契約を締結 |
| 2025年9〜10月 | 全庁的にノートPC 1,030 台の入れ替えを実施。残る 370 台を未使用機として市役所内の施錠された部屋で保管 |
| 2026年3月下旬 | 保管台数確認時に未使用機の一部が抜き取られた痕跡を発見。警察に相談 |
| 2026年4月16日 | 市が盗難届を提出 |
| 2026年4月17日 | ヘルプデスク担当の委託事業者従業員が盗難容疑で逮捕 |
| 2026年5月29日 | 浦添市が公式発表(当初「個人情報の含まれる端末はない」と発表) |
| 2026年6月3日 | 追記:3台に個人情報が保存されていたことを公表 |
防犯カメラの映像には同従業員の不審な動きが記録されており、持ち出した PC を同一の販売事業者に転売目的で持ち込んでいたことも判明しています。
2. 流出した個人情報の詳細
所在不明 83 台のうち 3 台に個人情報が保存されていたことが判明しました。これら 3 台は、後の捜査により回収済みの 47 台に含まれていました。
市民課 ノートPC(1 台)
| 項目 | 内容 |
|---|---|
| 対象者 | 2025年11月17日時点の浦添市住民登録者 |
| 件数 | 115,526 件 |
| 個人情報の項目数 | 23 項目 |
含まれる情報(23 項目):氏名漢字・氏名かな・旧氏漢字・旧氏かな・生年月日・性別・住所・本籍・転入元住所・前住所・筆頭者・世帯主かな・世帯主名・続柄・漢字併記名・カタカナ併記名・通称かな・通称漢字・在留カード番号・国籍・生年月日数値・氏名振り仮名・旧氏振り仮名
住民基本台帳に登録された情報の大部分が含まれており、外国籍市民を含む全住民が対象となっている。
給付金室 ノートPC(1 台)
| 項目 | 内容 |
|---|---|
| 対象者 | 定額減税補足給付金(不足額給付分)申請者 |
| 件数 | 112 件 |
| 個人情報の項目数 | 6 項目 |
含まれる情報(6 項目):氏名・住所・電話番号・メールアドレス・口座番号・生年月日
口座番号・メールアドレスを含む金融関連情報が含まれており、詐欺・フィッシング攻撃への悪用リスクが高い。
現在の状況
- 個人情報が保存された 3 台を含む 47 台は警察を通じて回収済み
- 36 台は依然として所在不明
- 現時点で個人情報の流出・悪用による二次被害は確認されていない
- 対象住民には書面で通知予定
3. 発覚の経緯と逮捕
発覚のきっかけ
2026 年 3 月下旬、市担当者が保管中の未使用 PC の台数を確認した際、一部が抜き取られた痕跡を発見しました。警察への相談と防犯カメラ映像の確認により、ヘルプデスク担当委託事業者の従業員による不審な行動が記録されていたことが判明しました。
委託先従業員の行動
- 管理者用パスワードを把握していた:ヘルプデスク業務のため、同従業員は管理者用パスワードを知っていました
- 転売が目的:持ち出した PC を同一の販売事業者に転売目的で持ち込んでいました
- 個人情報の窃取が目的ではなかったと見られているが、管理者権限を保有していたためデータへのアクセスは技術的に可能な状態でした
被害の全体像
最初に発覚した未使用機の盗難に加え、全庁的な調査により使用中だった PC からも盗難が疑われることが判明。合計 83 台が所在不明となった。83 台のうち 47 台は警察を通じて回収済みだが、36 台は依然として所在不明の状態が続いています。
4. 原因と管理上の問題点
浦添市は今回の事案の原因を以下のように分析しています。
資産管理の不備
1,400 台という大量の PC 入れ替え作業が行われる中、未使用機を含めた PC 全体の配置状況を正確に把握する仕組みがありませんでした。
- 資産台帳が整備されていなかった:PC の所在を追跡する台帳が存在しない、または形骸化していました
- 保管場所の物理的管理が不十分:施錠された部屋での保管は実施していたが、入退室記録や監視カメラによる継続的な監視が不十分でした
- 定期棚卸しの仕組みがなかった:定期的な棚卸しが実施されておらず、盗難発覚まで最長 6 ヵ月(2025 年 9〜10 月〜2026 年 3 月)気づかれませんでした
運用手順の未整備
- 受け渡し時の確認手順がなかった:PC を委託業者に預ける際・返却時の確認プロセスが定められていませんでした
- データ消去手順がなかった:PC を作業依頼で委託先に渡す際、個人情報ファイルを削除する手順が存在しませんでした
- 端末ライフサイクル管理が未整備:廃棄・移管・保管中の各フェーズでの管理プロセスが明文化されていませんでした
権限管理の問題(最小権限原則の欠如)
ヘルプデスク担当者が管理者用パスワードを把握していた。これにより、PC を入手した際にデータへのアクセスが技術的に可能な状態にありました。業務上必要な権限を超えた管理者パスワードの共有は、最小権限の原則(Principle of Least Privilege) に反します。
5. 再発防止策と組織への教訓
浦添市が実施済みの対応
| 対策 | 内容 |
|---|---|
| 保管場所の見直し | 防犯カメラが設置され入退室記録が残る部屋での保管に変更 |
| 管理者用パスワードの変更 | 必要な PC の管理者用パスワードを変更 |
| 資産台帳の整備 | 未使用機を含めた配置状況を随時更新する台帳を整備し、定期棚卸しを実施 |
| 受け渡し手順の整備 | 返却・預け時に個人情報ファイルを削除し、情報政策課が二重チェック |
| ヘルプデスク管理体制の見直し | 委託事業者にコンプライアンス研修・再発防止研修の定期実施および現場巡回を義務付け |
今後の予定対応
| 対策 | 内容 |
|---|---|
| 情報セキュリティ研修 | 全職員を対象とした情報セキュリティリテラシー向上研修の実施 |
| 入退出管理システムの導入 | 機材保管庫への入退出管理システムおよび防犯カメラを設置 |
| サーバ室の監視強化 | 入退出記録の定期確認による異常の早期発見 |
| 情報資産管理の徹底 | 各課でのノートPC・個人情報を含む情報資産の管理状況確認の徹底 |
情報システム担当者がいま確認すべきポイント
今回の事案は浦添市固有の問題ではなく、多くの組織が同様のリスクにさらされています。以下を自組織と照らし合わせてみてください。
- IT 資産台帳は最新化されているか? — 全 PC・サーバ・モバイル端末の所在を台帳で管理し、定期的に棚卸しを行っているか
- 委託先への権限付与は最小限か? — ヘルプデスクや保守委託先に管理者パスワードを共有していないか。共有が必要な場合は、作業単位で発行・取消する仕組みがあるか
- 端末の受け渡し・廃棄プロセスはあるか? — 修理・入れ替え・廃棄時にデータ消去手順が定められ、実施されているか
- 保管場所の物理セキュリティは十分か? — 予備機・廃棄予定機の保管場所に入退室管理と監視カメラが設置されているか
- 委託契約にセキュリティ条項があるか? — 委託先にコンプライアンス研修の義務付け・作業記録の提出義務・インシデント時の報告義務が盛り込まれているか
6. まとめ・YJK からのコメント
今回の浦添市の事案は、内部脅威(インサイダー脅威) と 物理的セキュリティの重要性 を改めて示しています。
外部からのサイバー攻撃と比較し、内部犯行・委託先による不正行為は検知が遅れやすく、被害が拡大しやすい。本件では、盗難が 2025 年 9〜10 月から行われていたにもかかわらず、発覚まで最長 6 ヵ月を要しました。これは 資産管理と監視体制の欠陥 が根本原因です。
また、「個人情報はない」という当初発表が誤りであったことも重要な教訓です。インシデント発生時に「問題ない」と早急に断定することの危険性と、徹底した初動調査の必要性 を示しています。
情報システム担当者は、サイバー攻撃対策に加えて、物理的セキュリティ(Physical Security) と 委託先管理(サプライチェーンリスク管理) にも同等の注意を払う必要があります。