行政文書入りHDD不正転売事件、ガイドラインを守らなかった神奈川県の責任

無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

神奈川県の行政文書が入っていたHDDを、廃棄業者の従業員が不正転売していた問題が発生しました。実害とまではいかないようですが、転売された物品が膨大なこともあり、まだ全容は判明していません。今回は、この件について解説して行きたいと思います。

神奈川県の内部データ最大54テラバイトが流出か、HDD処分業者の従業員が不正転売

2019.12.6

神奈川県庁のファイル共有用サーバーで使用していたハードディスクがネットオークションで転売され、内部データが流出していたことが2019年12月6日、判明しました。神奈川県はサーバー更新の時期に合わせてハードディスクの入れ替えを進めてい

この記事の目次

1 情報流出に至る経緯
2 問題点はどこにあるか
3 地方公共団体における情報セキュリティポリシーに関するガイドライン
4 一番悪いのはガイドラインを守らなかった神奈川県
5 最後に

情報流出に至る経緯

各種報道によれば、今回の事件は以下のような経緯であったようです。

ファイル共有サーバのリース契約期間が切れ、交換作業がはいる

旧サーバ内のHDDをフォーマットして、リース会社に返却

リース会社は廃棄業者にそのままHDDの破壊を依頼

廃棄業者の従業員がHDDを盗んで転売

HDD購入者が、HDDにデータが残っていることを確認し連絡

転売した従業員は他にも大量の物品を転売していたことが判明

問題点はどこにあるか

このような状況で、現在は”転売に気が付かなかった廃棄業者”が叩かれています。

神奈川県庁HDD流出のブロードリンク、社長が引責辞任を表明

2019.12.10

画像：

廃棄業者の管理能力不足は明らか

叩かれるのは当然で、廃棄すべき記録媒体を正しく管理していれば、無くなっていることにすぐ気づくはずです。その後、発表された再発防止策でも、ナンバリングが記録媒体毎ではなく筐体毎になされておりました。

これでは、筐体内に複数のHDDが入っていれば、盗難があっても気づかない可能性が出てしまいます。再発防止策として提出された案にも不備があるのですから、廃棄業者の管理能力が不十分であったことは明白だと思われます。

リース会社の”委託管理責任”が問われるが、一番悪いのは？

では、リース会社はどうでしょう。廃棄業者に物理的破壊を委託したわけですから、当然委託先管理責任が問われます。責任を免れることはできないでしょう。

さて、リース会社の”委託先管理責任”を挙げていますので、言いたいことに気づいた方も多いと思います。そう、一番悪いのは神奈川県です。ただ、今回のケースは”委託先管理責任”だけの問題ではないんですね。そこを説明していきます。

地方公共団体における情報セキュリティポリシーに関するガイドライン

自治体には、守るべきガイドラインがいろいろありますが、その中の一つに「地方公共団体における情報セキュリティポリシーに関するガイドライン」というものがあります。これは自治体が実施すべき情報セキュリティ対策をひな型としてまとめたものです。その中にこういう文章があります。

第2編第2章　4.1サーバ等の管理(7)機器の廃棄等
情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

その解説は下記の通りです。

パソコンが不要になった場合やリース返却等を行う場合には、ハードディスクから情報を消去する必要がある。
（注5）情報を消去する場合、オペレーティングシステム（OS）の機能による初期化だけでは、再度復元される可能性がある。データ消去ソフトウェア若しくはデータ消去装置の利用又は物理的な破壊若しくは磁気的な破壊などの方法を用いて、全ての情報を復元が困難な状態にし、情報が漏えいする可能性を低減しなければならない。

参照地方公共団体における情報セキュリティポリシーに関するガイドライン(平成30年9月版PDF)/総務省

今回のケースを想定していたような解説ですね。リース返却を行う場合にはハードディスクから情報を消去しなきゃいけないんです。しかもご丁寧に”初期化だけではダメですよ”と注釈まで入っています。