沖縄県浦添市の市役所で業務用ノートPC83台の盗難が発覚。2026年5月29日、全市民11万5,526人分の住民情報(23項目)と口座番号等を含む個人情報が格納された3台が紛失していたと判明。委託業者の内部不正とデータ消去手順未整備が招いた管理体制の欠陥と再発防止策を詳しく解説します。
サマリー
2025年10月から2026年2月にかけて、浦添市役所から業務用ノートPC83台が盗難被害にあい、2026年4月に発覚
盗難PCのうち3台に個人情報が格納されており、1台には全市民11万5,526人分の住民記録(23項目)が含まれていた
犯行は市のヘルプデスク委託業者の社員(当時24歳)によるもので、転売目的とみられ窃盗罪で起訴済み
市は事件発覚当初「個人情報の流出なし」と説明していたが、その後3台の紛失が判明し、5月29日の記者会見で説明が一転
主因はPC受け渡し時のデータ消去手順の未整備と、委託業者に対する管理・連携不足
個人情報を含む3台はすでに回収済みで、外部専門会社によるアクセス痕跡の解析調査を実施中
事案の概要—委託業者の転売目的窃盗でPC83台が消えた
沖縄県浦添市は2026年5月29日、市役所から業務用ノートパソコン83台が所在不明となり、盗難被害を受けたと発表しました。浦添市の公式発表によれば、市は2025年(令和7年)4月に業務用ノートパソコン1,400台のリース契約を締結し、同年9月から10月にかけて全庁的に1,030台の入替えを実施しました。残る370台は未使用機として市役所内の施錠された部屋に保管していましたが、2026年(令和8年)3月下旬、保管台数に疑義が生じ確認を進めたところ、一部の機器に意図的に抜き取られた痕跡が見つかりました。
市は3月30日に浦添警察署へ相談し、その後の防犯カメラ映像などの解析から、市のヘルプデスク業務(市職員のパソコン操作や設定サポートを担う業務)を受託していた業者の社員に不審な動きが確認されました。
捜査が開始され、2026年4月17日に当該社員(当時24歳)が逮捕されました。那覇地検は同年5月20日、2025年10月14日から2026年2月15日の間に44台(880万円相当)を盗んだとして、窃盗罪で起訴しています。逮捕後の全庁調査では、ノートパソコン合計83台の所在が不明であることが判明しました。
流出リスクのある個人情報の詳細
浦添市の公式発表によれば、所在不明となった83台のうち3台の内部に市民の個人情報が保存されていたことが確認されています。
市民課ノートパソコン(1台) 2025年11月17日時点の住民登録者全員にあたる11万5,526人分のデータが1ファイルに格納されており、
含まれる項目は氏名(漢字・かな)、旧氏、生年月日、性別、住所、本籍、転入元住所、前住所、筆頭者、世帯主、続柄、漢字併記名、カタカナ併記名、通称、在留カード番号、国籍など23項目に及びます。いわゆる「住民基本台帳情報」に相当する網羅的なデータセットです。
給付金室ノートパソコン(2台) 定額減税補足給付金(不足額給付分)の申請者に関する情報が58ファイルにわたって保存されており、対象件数は計112件です。
氏名、住所、電話番号、メールアドレス、口座番号、生年月日の6項目が含まれています。なかでも口座番号という金融情報が含まれている点は、二次被害リスクの観点から特に注意が必要です。
市によれば、個人情報を含む3台を含む47台のノートパソコンはすでに回収済みです。一方で、現時点でも36台の行方は不明ですが、市はこれらが機器更新用の未使用機であり個人情報は含まれていないとしています。3台については外部の専門会社に解析調査を依頼しており、データへのアクセス痕跡の有無を確認中です。
「流出なし」から「流出のおそれ」へ——説明が一転した経緯
本事案で重要な論点のひとつが、市の初期説明と後の発表内容との乖離です。浦添市は事件発覚直後、報道機関の取材に対して「盗まれたパソコンは未使用機のみで個人情報の流出はない」と説明していました。しかしその後の調査で、個人情報を含む稼働済み端末3台が紛失していることが判明し、2026年5月29日の記者会見で説明が一転しました。
市自身も発表のなかで「盗難被害の発見の遅れや被害の拡大につながった要因は、1,400台の入替え作業が行われるなかで、未使用機を含めた業務用パソコン全体の配置状況や動静を十分に把握できていなかったことが挙げられる」と認めています。大規模なPC入替えという非定常イベントの混乱が台帳管理の盲点を生み、初期確認が不十分なまま「問題なし」という誤情報が発信されてしまった典型例といえます。
インシデント発生時に「流出なし」と発表した後で訂正を余儀なくされたケースは、組織の信頼を大きく損ないます。最近の国内サイバーインシデント事例でも同様のパターンが繰り返されており、初動調査の精度と情報開示の慎重さが改めて問われています。
管理上の根本的問題点—ルールはあったが手順がなかった
浦添市は今回の事案について、3つの構造的問題点を認めています。
第1の問題は、大規模入替え作業中の端末追跡管理の甘さです。1,400台という大量の端末を入れ替えるなかで、配置状況や動静を一元的に把握できる台帳管理が機能しておらず、長期にわたって盗難被害の発見が遅れました。
第2の問題は、「ルールはあったが手順がなかった」という管理体制の構造的欠陥です。市は「セキュリティ対策のルール自体は定めていたものの、庁舎内におけるノートパソコンの受渡し時の確認および、機器の管理体制、データの消去方法等について、具体的な運用手順が定められていなかった」と説明しています。ポリシーの策定だけでは不十分であり、誰が・いつ・どのように行うかを定めた具体的な標準作業手順書(SOP)の整備こそが、実際の情報漏えい防止に直結することを示す事例です。
第3の問題は、ヘルプデスク委託業者への監督・連携不足です。被疑者は業務上、管理用パスワードを把握できる立場にありました。これは委託業者が高い権限を持ちながら、行動監視や内部統制が十分に機能していなかったことを示しています。不正アクセスの多くが内部者・委託先関係者から発生しているという現実を踏まえると、外部委託先の管理体制は組織全体のセキュリティの弱点になりやすいといえます。
浦添市が講じた再発防止策
浦添市はすでに以下の再発防止策を実施しています。
端末の保管環境については、防犯カメラが設置され入退室記録が残る部屋での保管に変更しました。管理者用パスワードについては、状況確認の上で必要な端末を対象に変更を実施しました。資産管理については、保有するパソコン全台の台帳を整備し、未使用機を含めた配置状況をリアルタイムで更新するとともに、定期棚卸しを導入しています。
PC受け渡し手順については、返却・作業依頼時に使用者が個人情報ファイルを削除してから引き渡す手順を明文化し、情報政策課による二重確認を義務付けました。また、情報政策課職員の立会いのもとで受け渡しを行い、確実に実施されたことを確認する仕組みを導入しています。端末の移動を伴う作業には預かり証を導入し、受け渡し履歴を共有する運用も開始しました。
委託業者の管理については、コンプライアンス研修と再発防止研修の定期実施、管理職による現場巡回・セキュリティ点検の実施を委託先に求めています。今後は機材保管庫への入退出管理システムと防犯カメラの導入、全職員向け情報セキュリティ研修の実施、各課における情報資産管理の徹底も予定されています。
情報システム担当者が今すぐ確認すべき3つのポイント
本事案が示す教訓は、浦添市に限った問題ではありません。委託業者にヘルプデスク業務を任せている組織、大規模なPC入替えを計画・実施中の組織、あるいはデータ消去の手順をまだ文書化していない組織は、同様のリスクにさらされている可能性があります。
ポイント①:端末廃棄・返却時のデータ消去手順は文書化されているか 「個人情報を消去してから返す」というルールが存在していても、「誰が」「どのツールを使って」「どの手順で消去し」「誰が確認するか」まで文書化されていなければ実質的に機能しません。廃棄・返却フローに二重確認の仕組みを組み込み、実施記録を残す体制の整備が必要です。
ポイント②:委託業者のアクセス権限は最小権限原則に基づいているか ヘルプデスクや保守業者など外部委託先に管理者権限を付与している場合、その権限範囲と行動監視体制を見直してください。管理用パスワードの共有範囲を絞り、操作ログの取得と定期レビューを実施することが最低限の対策となります。
ポイント③:大規模な端末入替え時に特別な台帳管理手順を定めているか 通常運用では問題ない管理方法でも、大量入替えのような非定常イベント時には管理の穴が生じやすくなります。全台数の棚卸し頻度を上げる、責任者を明確化するなど、入替え期間中の臨時強化手順を別途定めておくことが重要です。
FAQ
Q. 浦添市民ですが、自分の情報が流出したか確認する方法はありますか? A. 浦添市は対象者に文書(通知書)を郵送する予定としています。また、専用コールセンター(フリーダイヤル:0120-340-089)が2026年5月29日から6月30日まで、平日9時〜17時に開設されています(5月30日・31日も開設)。不審な電話・訪問・メールには応じず、不安がある場合はまず市のコールセンターに連絡することを推奨します。
Q. ノートパソコンにはパスワードが設定されていたとのことですが、情報は安全ではないのでしょうか? A. 浦添市は「ノートパソコンにはパスワードが設定されており、第三者が容易に内部の情報にアクセスする状況にはない」としています。ただし、被疑者は業務の性質上、管理用パスワードを把握できる立場にありました。個人情報取得を目的としていた事実は現時点で確認されていないものの、アクセスできた可能性を排除できないため「流出のおそれ」として発表されています。現在、外部専門会社がアクセス痕跡の有無を解析中です。
Q. 口座番号が漏えいした場合、どのような二次被害が考えられますか? A. 口座番号単体では不正送金は原則として行えませんが、氏名・住所・生年月日・電話番号と組み合わされることで、フィッシング詐欺や特殊詐欺(振り込め詐欺など)に悪用されるリスクが高まります。「市役所から確認の電話」などを装った不審な電話、心当たりのない書類の送付、URLクリックを促すメール等には十分注意してください。
Q. 自組織でも同様の事案が発生した場合、何をすべきですか? A. 個人情報保護法では、個人情報の漏えい等が発生した(または発生したおそれがある)場合、個人情報保護委員会への報告(速報は原則として事態を知った日から3〜5日以内、確報は30日以内)と本人への通知が義務付けられています。地方公共団体については個人情報保護委員会への報告に加え、総務省への報告が求められる場合もあります。また、二次被害防止のための情報提供と問い合わせ窓口の設置も必要です。セキュリティインシデント対応の全体像については、サイバー攻撃への備えに関する解説記事も参照してください。
参考情報
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)