神奈川県の機密文書、大規模流出! 正しいHDD廃棄ルールは?

なんともずさんなデータ管理が明るみになりました。神奈川県の機密文書を保存したHDD(ハードディスク)がオークションサイトに流出。データ消去が不完全で、情報流出の可能性があるということです。

その後の調べで、担当者が意図的にHDDを転売目的で会社から持ち出していたとのこと。つまり、窃盗と情報漏洩の事件ということがわかりました。しかし、担当者個人の責任で終わらせるのではなく、会社としての管理体制、チェックの仕組みが最大の問題です。他人事と思わず、自社だったらどうなのか、考えて見るにはいい事例ですね。

気になるニュースを深掘りしてみます。こんにちは、元オタク少年のshigeです。



事件の経緯

もう、これは事件です。事故と言いたいところですが、あまりに管理がずさん。複数の人が関係していますが、多分大丈夫みたいな過信があったと思います。自分はきちんと伝えたつもり、相手は指示されたのは、この範囲みたいな、ボタンの掛け違いがあったのでは。と思います。

データが流出したのは、ブロードリンクという中古PC処理業者

ブロードリンク社は、東京にある中古PC処理業者。官庁や金融など、機密情報を多く扱う機関の中古PCを処理することを得意としているようです。ホームページには安心・安全、というキーワードが載っています。もう、この事件で信用がた落ち。経営存続が、かなり危ぶまれます。

今回流出したHDD(ハードディスク)はサーバーの中で大量データを保存しておく場所。取り外せば、手で持てるくらいのサイズです。そもそも、HDDを転売するというのは、処理業務の中では想定していない筈。社内ルールから外れていると思います。

転売されたHDDは少なくとも9個あり、27テラバイトに上る。情報流出の事案としては世界でもまれな規模に上る可能性がある。

HDDは県庁内の共有サーバーに使われていた。中には、法人名が記載された税務調査後の通知や、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿類などが含まれていた。

出典:(朝日新聞DIGITAL)【独自】行政文書が大量流出 納税記録などのHDD転売
https://www.asahi.com/articles/ASMD57WSXMD5UTIL065.html

転売が社員個人の判断で、社内ルールに違反しているのかどうか。そうだとしても、違反行為が簡単にできてしまう管理体制が問われそうです。



HDDの簡易データ消去と、復元技術

HDDは簡易データ消去がされていたとのこと。おそらく、OSを使ったデータ消去と、フォーマットくらいの処理でしょうか。簡易消去では、データ本体は削除されず、インデックスと呼ばれるデータの場所を管理している台帳のような場所だけ消去されます。この状態では、高度な復元ソフトを使うと、大半のデータが復元できてしまいます。

これは、神奈川県の方で処理した後、ブロードリンク社に持ち込まれているようです。ブロードリンク社では、追加のデータ消去処理をしたのかどうか、このあたりも管理体制が問われそうです。

県からブロードリンクに引き渡された時点で、HDDには簡易なデータ消去(初期化)が施されていた。データの消去作業の担当者が一部を持ち出し、オークションサイトに出品したという。

出品されていたHDD9個を、IT企業経営の男性が仕事に使おうと落札。使用前に安全性を確かめるため男性が中身を確認したところ、データの存在に気づいた。復元ソフトを使うと、神奈川県の公文書とみられる大量のファイルが保存されていたという。

出典:(朝日新聞DIGITAL)【独自】行政文書が大量流出 納税記録などのHDD転売
https://www.asahi.com/articles/ASMD57WSXMD5UTIL065.html

そもそも、お客さんがら預かっているHDDをオークションサイトに持ち込むのは異常ですよね。ありえない!



ITリテラシーの高い人と、低い人のギャップがあらわに

今回、不幸中の幸いだったのは、HDDを入札で手に入れた人が、ITリテラシーの高い、IT企業の経営者だったこと。念のためにと調べたら、ヤバいHDDだった。面倒な話になるのを覚悟で、真相究明に乗り出した。正義の味方登場、凄いです!

お客さんのHDDをオークションサイトに出品するようなITリテラシーの低い人と、ヤバいと思って真相究明するITリテラシーの高い人。このギャップが、本件の面白いところです。

神奈川県と廃棄事業者の間で、このくらいITリテラシーが高くて、目を光らせている人がいれば、こんなことにはならなかったのにね。と思います。多分大丈夫という過信が、抜け穴を作っちゃうんです。




言った、聞いてない、の応酬(機密情報の廃棄の裏側で…)

事件には、富士通リースという会社も関わっています。

富士通リースが管理していたサーバーの廃棄をブロードリンク社に委託していた。委託時の指示内容は、

破壊して作動しないようにしてから廃棄するか、データを完全に消去するよう指示していた。

としていますが。これだけでは不明確ですね。「動作しないようにする」とは、どういう状態なのか、不明確です。「データを完全に消去」というのも、具体的にどういう処理方法で消去するのか指定しないとダメです。まあ、そんな細かい規定は公開されないでしょうが。具体的な取り決めをしていたかどうかが問題です。

さらに取り決めをしたら、その実施報告書や、実施後の証明データを添付するくらいはやるべき。

そこまでやって、ようやくきちんと管理していた、と言えるでしょう。




HDDは、県が富士通リース(東京都千代田区)から借りたサーバーに使われたもので、今春に交換時期を迎え、サーバーから取り外された。富士通リースは県との契約に基づき、データを復元不可能な状態にする作業を、情報機器の再生事業を手がけるブロードリンク(同中央区)に委託。同社に対し富士通リースは、破壊して作動しないようにしてから廃棄するか、データを完全に消去するよう指示していた。

出典:(朝日新聞DIGITAL)HDD転売者の一問一答 「行政文書とは知らなかった」
https://www.asahi.com/articles/ASMD605GCMD5UTIL068.html

やるべきことを認識していない社員

直接事件を引き起こした社員への取材に成功しているのが凄いですが。答えるほうも、安易に答えちゃってますね。笑えます。この後、どうなるのか、全然気にしていない感じ。末恐ろしいです~

ブロードリンクの男性社員が5日夜、朝日新聞の取材に応じ、持ち出しと転売を認めた

出典:(朝日新聞DIGITAL)HDD転売者の一問一答 「行政文書とは知らなかった」
https://www.asahi.com/articles/ASMD605GCMD5UTIL068.html

「行政文書とは知らなかった」って、おいおい。行政文書じゃなかったら、適当に転売するのかよ!??

状況を把握していない回答です。おそらく、本人は事の重大性がわかってない。ある意味、素朴な人ですかね。そんなに悪気はない。知識不足と、教育不足だと思います。

その後の調べで、会社の管理体制の弱点があらわに!!

その後の調べで、少なくとも数百台のHDDが持ち出されて、転売されていたことがわかりました。担当者は逮捕され、取り調べ中、懲戒解雇処分にもなったようです。そりゃそうですよね。賠償請求したいところですが、おそらく弁償能力がないので、負債は会社が背負うことになりそうです。かなりヤバいですね~



社内で機密情報を取り扱っているのに、持ち出しチェックが機能していない!

元担当者の供述がマスコミを通じて報道され、会社のチェック体制などの問題点があらわに。これが本当だとしたら、もうこんな会社に仕事は依頼できないです。

「持ち出しは簡単だったので毎日のようにやった。ばれないと思っていた」と供述
出典:NHK Web 「持ち出し毎日のようにやった」
https://www3.nhk.or.jp/lnews/yokohama/20191208/1050008398.html

簡単に持ち出しできてしまう体制。信頼の元の体制かもしれませんが、安心しきった中に不正の温床が生まれます。

事務所のデータ消去室の入室にはIDカードや指紋による認証が必要で、私物の持ち込みは禁止されているということです。
一方、退社する際の手荷物検査は全員に対してではなく抜き打ちで行っていたということです。
出典:NHK Web 「持ち出し毎日のようにやった」
https://www3.nhk.or.jp/lnews/yokohama/20191208/1050008398.html

こうなると、形だけセキュリティーに気を使ってるけど、実質的に抜け穴だらけ。会社としては機能していない。と言わざるを得ない状況です。

HDDの個体シリアル番号の台帳管理だけでもやってれば、ここまで問題は大きくなっていない筈。複数人で相互チェックとか。それでも十分ではないですが。何から、何まで、やれることをかなりサボっていた。ずさんな管理体制ですね。




結論:業務ルールは、途中経過や結果を後で確認できるレベルで、具体的な行動レベルで規定してチェックしないとダメ!

ということで、今回の事件は、業務ルールとチェック体制の不明確さが原因と考えられます。どの会社でも業務ルールというのはある。でも、口約束みたいな、曖昧なルールが多いのでは、と思います。

うまくいっているときは、何も問題ないけど、ひとたび事件に発展すると、誰が悪かったのか、わからない。ここで、個人を責めてもムダです。個人の問題というより、業務全体の設計、デザインがダメと言わざるをえません。

言ったつもり、聞いてない、なんて、究極のムダです。そういうことが起きないようにルールの文書化とチェック体制が必要なんです。

ルールは、結果だけでなく、行動レベルで規定すべし!

今回の断片情報だけで判断するのは危険ですが、「動作しないようにする」とか「データを完全に消去」というのは、期待する結果を規定していると言えます。でも、一社員にしてみたら、その実現方法は複数ある。出来たかどうかも、よくわからない。という不明確な指示だった。




こういうときは、具体的に〇〇しなさい、□□が△△と一致していることを確認して、記録しなさい。など、具体的な行動レベルでルールを規定しましょう。決められたことを、やったか、やらなかったか、明確になるようにする。

これで、誰がやっても一定の品質が確保できます。まあ、ルールを厳格にして運用すると、コストもかかります。そこはトレードオフ、じゃなくて、何が大切かという問題です。

おそらく、今回の事件で、会社が1つ潰れるかもしれない。そういうリスクをどう捉えるかの問題です。安易に安値で仕事を請け負うと、大変なリスクを抱えることになりかねません。

なんか、真面目にコンサルしている気分になってきた。そんなにムキにならなくてもいいのにね。職業病だろうか。ともかく、こんな事件が繰り返されないように、身を引き締めていきましょう。

ではでは~




シェアする

  • このエントリーをはてなブックマークに追加

フォローする