兵庫県のSNSで不正ログイン、はばたんPay＋でも情報漏洩──相次ぐシステム不備に「知事の責任では？」の声

2025年10月24日2025年10月25日

兵庫県の公式SNSアカウントに不正ログインが確認され、個人情報を扱う「はばたんPay＋」でも情報漏洩が発覚しました。
「兵庫県のシステム、脆弱すぎませんか？」「行政の長として斎藤知事の責任では？」という声が県民の間で広がっています。

一方で、一部では「システム会社や担当者の責任であって、知事には関係ない」という意見も見られます。
果たして、知事に責任はないのでしょうか。

不正ログインと情報漏洩──兵庫県で相次ぐシステム不備

兵庫県は、県公式SNSアカウントに対する不正アクセスを確認したと発表しました。
また、県が関与する「はばたんPay＋」では、利用者情報が外部に流出した可能性が明らかになっています。

県民からは「行政システムの安全性に不安がある」との声が上がっていました。

「知事に責任はない」という反論の問題点

SNS上では、次のような擁護意見も見られます。

「システムを作ったのは外注の会社。責任は県職員やベンダーにある」
「知事が直接システムを操作しているわけではない」

しかし、この論理は行政の基本原理に反しています。

知事は地方自治法上、「県の事務を統括し、全体の執行を管理監督する立場」にあります（地方自治法第147～9条）。
つまり、最終的な責任者は知事本人です。

システム会社が作業を誤ったとしても、

• 委託先の選定基準をどう設けたか
• 契約時にどのような安全要件を定めたか
• 運用時に監査体制を確保していたか
  といった「管理体制の構築・監督」は行政の責任であり、最終的には知事に帰属します。

公共システムは「要件定義」で品質と安全を担保する

行政がシステムを外部業者に発注する際には、
**「要件定義書」や「仕様書」**で、以下のような要件を明記します。

• 不正アクセスや改ざんへの耐性
• 個人情報保護に関する安全基準
• セキュリティパッチや脆弱性対応の義務
• 不具合発生時の報告義務と対応期限
• 第三者による検証・監査

もし「わざと壊れるシステム」が納品されたとしたら、
それを検収（チェック）して合格と判断した兵庫県側の責任になります。

つまり、
「そんなガバガバな契約や検査を通していたこと自体が、行政の監督不行き届き」
＝最終的には知事の責任、ということです。

契約リスクを防ぐのが「発注者の責任」

民間でも公共でも、システム開発を委託した場合、
発注者には「善管注意義務（善良な管理者として注意する義務）」があります。

つまり、

• 契約条件に安全性を盛り込む
• テスト・監査を怠らない
• 再発防止策を定期的に確認する
  といったことを怠ると、発注者側（兵庫県）の責任が問われます。

この体制を整え、職員を指導・監督するのが知事の役割。
したがって「システムが壊れた」「情報漏洩が起きた」という結果には、
知事の統治・監督責任が必ず伴います。

「悪意のある攻撃」でも責任は残る

仮にアンチが意図的に攻撃して壊したとしても、

• 攻撃を想定したセキュリティ対策を講じていたか
• ログ監視・バックアップ・復旧体制を整えていたか
• 被害拡大を防ぐ運用体制があったか
  など、被害を最小限に抑える準備をしていたかどうかが問われます。

ですから、

「壊したのはアンチだから知事は悪くない」
というのは、完全に筋違いです。
それは「泥棒が悪いんだから鍵をかけ忘れた家主に責任はない」と言っているようなものです。

外注任せは通用しない──「監督責任」という行政の常識

公共事業では、業務委託を行っても「発注者責任」が常に伴います。
監督不十分で事故や漏洩が起きた場合、発注元が責任を問われるのは当然です。

これは企業でも同じで、部下や外注先がミスをしても、社長や代表が謝罪・再発防止を表明するのが社会的通念です。

したがって、

「外注が悪いから知事には責任がない」
という主張は、行政運営の仕組みを理解していない議論だと言えます。

繰り返される「ガバナンス不全」──県民の信頼をどう取り戻すのか

兵庫県ではここ最近、

• 「はばたんPay＋」のシステムトラブル
• 「文書不存在」問題による情報公開の不適正運用
• 公式広報やSNSの私的利用疑惑
  など、行政ガバナンスに関する問題が相次いでいます。

こうした中で発生した今回の不正アクセス・情報漏洩は、単なる技術的ミスではなく、組織全体の統治体制の脆弱さを示すものと受け止められています。

トップの遵法意識は行政文化の「温度計」

地方自治体の組織文化は、民間企業以上にトップの姿勢によって変化します。
知事や市長が

• 公文書管理を軽視する
• 公私混同を容認する
• 不正を指摘する職員を守らない
  といった行動をとると、職員の間には次のような空気が生まれます。

「上がそうだから、言っても無駄」
「形式だけ守っておけばいい」
「トラブルが起きても忖度して報告しない方が得だ」

この“モラルの崩壊”が静かに進行し、結果として組織全体のリスク感度が下がります。
つまり、不正アクセスも不具合も、「起きても誰も止められない」状態になるのです。

「ふくまろ問題」に見るガバナンス崩壊の構図

「ふくまろネットニュースチャンネル」が知事に同行してYouTube配信を行い、広告収益を得ていた件は、本来であれば利益相反や選挙関連法違反の可能性を慎重に検討すべき事案です。

しかし、県職員がそれを黙認または支援していたとすれば、「上司（＝知事）の行為には疑問を挟めない」という組織風土の硬直化が起きている可能性があります。

このような環境では、現場の倫理判断が鈍り、セキュリティ運用や契約監督にも「まあいいか」「前例があるから」といった安易さが生まれます。

不祥事多発のメカニズム

過去の自治体不祥事の例によると、トップの不祥事や倫理欠如がある組織では、以下のような連鎖が確認されています。

1. トップの行動基準が緩む
2. 幹部職員が忖度し、組織内批判が封じられる
3. 内部通報・報告ルートが機能不全に陥る
4. 不正や不具合が放置される
5. 結果としてシステム事故や広報ミスが連発する

つまり、「技術的な問題」に見えても、根は組織倫理と統治の問題なのです。

兵庫県の現状に照らして

兵庫県ではこの1年余りで、

• 公文書の「不存在」問題
• はばたんPay＋のシステム不具合・情報漏洩
• 県公式SNSへの不正アクセス
• 「ふくまろ」問題による公私混同疑惑
  といった、性質の異なる不祥事が立て続けに起きています。

これを単発の偶然と見るのは不自然であり、
トップによるガバナンス・コンプライアンス意識の欠如が背景にあると見るのが自然です。

トップの「説明責任」と「信頼回復」のために

知事に刑事責任があるとは限りませんが、政治的・倫理的な責任は避けられません。
県民の個人情報を扱う行政システムで不正や漏洩が起きた以上、
知事自らが原因と再発防止策を説明し、信頼を回復する責任があります。

それを「外注が悪い」「担当者の問題」として片づけるようでは、
県民の不信はさらに深まるだけです。

「責任は全て私が持ちます！」
2回も念押しして、はばたんペイの謝罪一切無しですか？#斎藤元彦は今すぐ辞めろ#斎藤知事でなければ失われなかった命がある https://t.co/Z95QuU0ozp pic.twitter.com/LOf8vdpyao

— まりまり (@JTruelove1111) October 24, 2025

まとめ

不正ログイン・情報漏洩が発生したのは事実

原因がシステム会社にあっても、監督体制は県の責任

行政の長として、知事が最終的な「結果責任」を負う立場

兵庫県のガバナンス体制そのものが問われている

発注要件・監督体制・検査体制を整えるのは行政の責任

行政全体の統括と最終責任を負うのは知事

よって「わざと壊したら責任ない」論は、行政法・契約実務を知らない詭弁