2019年12月6日、インターネットオークションにおいて、落札されたハードディスクから、行政文書と見られるデータが復元されるという、衝撃的な事件が発生しました。
今回は、この事件の概要と詳細、またはこの事件に対する政府の対応について解説したいと思います。
ハードディスクがインターネットオークションに流出した事件の概要
神奈川県の行政文書を保存したハードディスク18個がインターネットオークションで売られ、納税に関する個人情報、職員名簿などの機密情報が流出していたことが、今月6日に判明しました。
これは、ハードディスクの廃棄に関わった業者の元社員が、ネットオークションに出品したことが原因であり、落札者の男性がデータを復元したことで明らかになったものです。
ハードディスクを落札した男性から連絡があったことにより、神奈川県は18個のうち9個を回収しましたが、残り9個は未だに回収できていません。
未回収の9個は、最大3人によって落札された可能性があり、県は落札者の特定を急いでいます。
また、神奈川県によると、ネットオークションに出されたハードディスクに含まれるデータは、27テラバイトの大容量に上っており、県が落札者の男性から回収した9個のハードディスクには、個人の氏名や住所を含む自動車税の納付記録、法人名を含む税務調査通知、課税に関する職員名簿、県庁における業務記録などの文書ファイルが含まれていたと言います。
ちなみに、ハードディスクを出品していたのは、廃棄を請け負った“ブロードリンク”という企業の元社員で、事件について発表された12月6日に緊急逮捕されています。
これは、ブロードリンクの社内において、保管されていた12台のハードディスク(時価計24,000円相当)を窃盗したことが理由であり、当事件についても、「私がしたことに間違いない」と容疑を認めています。
逮捕された社員にはまだ余罪がある?
ハードディスクの廃棄を請け負ったブロードリンクについては、以前から社内で消去前のパソコンが紛失していると、ネット上で話題になっていたことも判明しました。
また、当事件の1年前には、窃盗容疑で逮捕された元社員と同じイニシャルの人物が、ハードディスクなどを横流ししているという内容の書き込みも発見されています。
これについての真偽は不明ですが、ブロードリンクは会見を開き、「管理がずさんだった」と謝罪しました。
同社の説明によると、これまでハードディスクの廃棄処理に関しては、シリアルナンバーを管理してはいるものの、本当に処理されたのかどうかの確認は怠っていたと言います。
正社員に対する手荷物検査のチェックも不十分であり、これが今回の重大な事件に繋がったと言っても過言ではありません。
ちなみに、逮捕された元社員は、これまで手荷物検査の対象に1度もなったことがなかったといいます。
そして、ブロードリンクは、神奈川県だけでなく、その他にも多くの官公庁や大手企業と取引をしています。
そのため、今回ハードディスクを出品した元社員は逮捕されましたが、まだ余罪があると考えられており、神奈川県以外にも被害が拡大する可能性が出てきています。
実際、逮捕されたブロードリンクの元社員は、ハードディスクの窃盗で逮捕された際、「複数回盗んだ」と供述しています。
神奈川県の対応について
この事件を受けて、神奈川県庁も会見を開き、黒岩祐治知事は、「県としても、データ消去の履行確認が不十分だった」ということを認め、「結果として県民に不安を与え、県の信頼を揺るがせてしまった」と発言し、謝罪しました。
ちなみに、神奈川県は、ハードディスクの廃棄処理について、直接ブロードリンクに委託していたわけではありません。
直接契約していたのは、“富士通リース”であり、富士通リースがブロードリンクへ、データ復元不可の状態にする作業を委託していたのです。
ただ、神奈川県は、富士通リースがブロードリンクに業務を委託していたことを把握しておらず、社名すら知りませんでした。
また、ブロードリンクとの直接的な契約がないことから、廃棄の現場に立ち会うこともありませんでした。
今後、神奈川県は、「物理的に破壊して消去するよう、富士通リースとの契約内容を見直したい」としています。
総務省の注意喚起について
この事件が発生した2019年12月6日、総務省は全国の自治体に対して、住民の個人方法などが大量に保存された記憶装置の処分について、物理的に破壊するようにするか、強力な磁気を当てて使えなくするよう求める通知を出しました。
また、作業の完了まで、職員を立ち会わせることも、あわせて求めています。
まとめ
ここまで、最近話題となった、ハードディスクがインターネットオークションに出品されるという事件について解説してきました。
当事件は、“世界最悪級の流出”と表現されるほど、とてつもない量のデータが流出した事件であり、今後も関連性のあるニュースが報道される可能性は高いです。
また、企業はデータが記録された媒体の処理体制について、今一度見直しましょう。
