神奈川県の行政文書が入っていたHDDを、廃棄業者の従業員が不正転売していた問題が発生しました。実害とまではいかないようですが、転売された物品が膨大なこともあり、まだ全容は判明していません。今回は、この件について解説して行きたいと思います。
情報流出に至る経緯
各種報道によれば、今回の事件は以下のような経緯であったようです。
- ファイル共有サーバのリース契約期間が切れ、交換作業がはいる
- 旧サーバ内のHDDをフォーマットして、リース会社に返却
- リース会社は廃棄業者にそのままHDDの破壊を依頼
- 廃棄業者の従業員がHDDを盗んで転売
- HDD購入者が、HDDにデータが残っていることを確認し連絡
- 転売した従業員は他にも大量の物品を転売していたことが判明
問題点はどこにあるか
このような状況で、現在は”転売に気が付かなかった廃棄業者”が叩かれています。
廃棄業者の管理能力不足は明らか
叩かれるのは当然で、廃棄すべき記録媒体を正しく管理していれば、無くなっていることにすぐ気づくはずです。その後、発表された再発防止策でも、ナンバリングが記録媒体毎ではなく筐体毎になされておりました。
これでは、筐体内に複数のHDDが入っていれば、盗難があっても気づかない可能性が出てしまいます。再発防止策として提出された案にも不備があるのですから、廃棄業者の管理能力が不十分であったことは明白だと思われます。
リース会社の”委託管理責任”が問われるが、一番悪いのは?
では、リース会社はどうでしょう。廃棄業者に物理的破壊を委託したわけですから、当然委託先管理責任が問われます。責任を免れることはできないでしょう。
さて、リース会社の”委託先管理責任”を挙げていますので、言いたいことに気づいた方も多いと思います。そう、一番悪いのは神奈川県です。ただ、今回のケースは”委託先管理責任”だけの問題ではないんですね。そこを説明していきます。
地方公共団体における情報セキュリティポリシーに関するガイドライン
自治体には、守るべきガイドラインがいろいろありますが、その中の一つに「地方公共団体における情報セキュリティポリシーに関するガイドライン」というものがあります。これは自治体が実施すべき情報セキュリティ対策をひな型としてまとめたものです。その中にこういう文章があります。
第2編第2章 4.1サーバ等の管理(7)機器の廃棄等
情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
その解説は下記の通りです。
パソコンが不要になった場合やリース返却等を行う場合には、ハードディスクから情報を消去する必要がある。
(注5)情報を消去する場合、オペレーティングシステム(OS)の機能による初期化だけでは、再度復元される可能性がある。データ消去ソフトウェア若しくはデータ消去装置の利用又は物理的な破壊若しくは磁気的な破壊などの方法を用いて、全ての情報を復元が困難な状態にし、情報が漏えいする可能性を低減しなければならない。
参照地方公共団体における情報セキュリティポリシーに関するガイドライン(平成30年9月版PDF)/総務省
今回のケースを想定していたような解説ですね。リース返却を行う場合にはハードディスクから情報を消去しなきゃいけないんです。しかもご丁寧に”初期化だけではダメですよ”と注釈まで入っています。
一番悪いのはガイドラインを守らなかった神奈川県
県知事の記者会見では「想定外」という言葉が何度も使われていました。これは全く違います。想定していた事態です。少なくとも総務省とそのガイドラインを守っている自治体は。
総務省は、神奈川県のような対応をする自治体が出ることを想定して、先手を打ってガイドラインを作っていたのです。これを「想定外」と言いきるのには驚きました。….総務省からしてみれば、ガイドラインさえ守らない、県レベルの自治体が出るとはまさに”想定外”だったかも知れません。
最後に
今回の件、廃棄業者が責められるのは当然としても、神奈川県に対しての批判や調査も必要だと思います。なぜ、ガイドラインが守られなかったのか。全てはそこから起因しているのですから。
少なくとも記者会見を見る限り神奈川県知事とその周辺は、ガイドラインで注意喚起をされていることを知っている様には思えませんでした。ここに県の「ガバナンスの問題」があるように、私には見受けられました。
もし、他の自治体関係者で今回の事件で不安に思われるような方がおられれば、もう一度ガイドラインに立ち返っていただきたい。そうすれば、こんな事件は起きなかったはずなのですから。