概要
宮城県大郷町は、2026年5月12日深夜に役場へ空き巣が侵入し、地理情報システムと家屋情報システムが搭載されたパソコン1台と周辺機器が盗まれたことを公表しました。パソコンは盗難防止ワイヤーで施錠されていましたが、ワイヤーが切断されていました。ハードディスク内には新築家屋所有者情報や建築計画概要書など最大200件分の個人情報が保存されており、情報流出の可能性が生じています。
今回のインシデントは、物理的なPCの盗難によって個人情報が危険にさらされるリスクを改めて示すものです。情シス担当者としては、端末の暗号化・データの最小化・物理セキュリティの強化が重要な対策となります。
目次
1. 何が起きたか
宮城県大郷町役場に、2026年5月12日深夜、空き巣が侵入しました。犯人はパソコン1台と周辺機器を盗み出し、現場では盗難防止ワイヤーが切断された状態で発見されました。
盗まれたパソコンには地理情報システムと家屋情報システムが搭載されていました。各システムの個人情報へのアクセスには専用線による接続が必要なため、犯人がネットワーク経由でシステムにアクセスすることはできない状態でした。しかし、ハードディスク内には個人情報が直接保存されており、物理的な持ち出しによる情報漏洩のリスクが生じています。
| 項目 | 内容 |
|---|---|
| 被害組織 | 宮城県大郷町(役場) |
| 発生日時 | 2026年5月12日深夜 |
| 被害内容 | パソコン1台・周辺機器の盗難 |
| 搭載システム | 地理情報システム、家屋情報システム |
| 物理セキュリティ | 盗難防止ワイヤーで施錠するも切断 |
| 公表日 | 2026年6月5日 |
2. 流出した可能性がある個人情報
ハードディスク内に保存されていた個人情報は以下の通りです。
新築家屋所有者情報(最大 100 件 / 2022〜2024 年度)
- 新築家屋所有者の氏名・住所
- 家屋情報(構造・床面積など)
- 再建築費・評価額
建築計画概要書(最大 100 件 / 2022〜2024 年度)
- 建築主の氏名・住所
- 建築予定地・施工業者
- 建築予定家屋の詳細・位置図
合計で最大 200 件分の個人情報がリスクにさらされています。地理情報・家屋評価に関する情報は、悪用されれば不動産詐欺や空き巣の下見などに転用されるおそれもあります。
3. 同町の対応
同町は事件の発覚を受け、速やかに以下の対応を実施しました。
| 日付 | 対応内容 |
|---|---|
| 2026年5月13日 | 翌日、警察へ盗難届を提出 |
| 2026年5月(詳細日程非公表) | 個人情報保護委員会へ報告 |
| 2026年5月〜6月 | 個人情報が流出した可能性がある個人・法人・団体への訪問、経緯説明と謝罪 |
| 2026年6月5日 | インシデントを公式発表(Security NEXT 報道) |
4. 今回の事例から学ぶ教訓
1. 端末ディスク暗号化は必須
ネットワーク経由のアクセスを制限していても、ハードディスクを物理的に取り出されれば個人情報が読み出されるリスクがあります。業務端末には BitLocker(Windows)などのディスク暗号化を必ず有効化し、PC が盗難・紛失しても情報が読み取られない状態にしておく必要があります。
2. 端末に保存するデータを最小化する
今回、システムへのネットワークアクセスには専用線が必要だったにもかかわらず、個人情報がハードディスクにローカル保存されていました。業務上不要なデータを端末本体に保存しない「データ最小化の原則」を徹底することで、盗難・紛失時のリスクを大幅に低減できます。
3. 物理的なセキュリティ対策を多重化する
盗難防止ワイヤーは切断されてしまいました。物理セキュリティは単一の対策に依存せず、入退室管理・防犯カメラ・センサーアラームの組み合わせによって多層防御を構築することが重要です。夜間・休日の無人時間帯のリスクを特に意識してください。
4. インシデント発生時の連絡フローを整備する
本事例では盗難翌日に警察へ届け出、その後個人情報保護委員会へも報告が行われています。個人情報漏洩が疑われる事案は、個人情報保護法の規定に基づき個人情報保護委員会への報告と本人への通知が義務付けられています(一定要件を満たす場合)。平時から報告手順・連絡先を文書化しておくことで、有事の際に迅速に動けます。
5. まとめ・YJK からのコメント
今回の大郷町のインシデントは、サイバー攻撃ではなく物理的な盗難によって個人情報が危険にさらされた事案です。ネットワークセキュリティに注力していても、端末の物理的な持ち出しというリスクには別途の対策が必要です。
特に地方自治体や中小企業では、業務端末の暗号化が徹底されていないケースが見られます。「ウイルス対策ソフトを入れているから大丈夫」という認識では不十分で、端末そのものが持ち去られた場合を想定した対策が求められます。
以下の項目を優先的に確認・整備することをお勧めします:
- 業務端末の BitLocker(またはそれに相当するディスク暗号化)の有効化状況
- 端末ローカルへの個人情報保存を禁止・最小化するポリシーの策定
- 物理セキュリティ(入退室管理・防犯カメラ・セキュリティワイヤー以外の施錠手段)の見直し
- 盗難・紛失インシデント発生時の対応手順書(連絡先・報告フロー)の整備
自社のセキュリティ対応状況を確認したい、端末管理ポリシーや物理セキュリティ対策の仕組み作りを相談したい場合は、Microsoft パートナー企業の YJK にお気軽にお問い合わせください。