神奈川県庁HDD情報漏洩、トップページに記載される
KNNポール神田です。
【追記:2019年12月9日(月)09:30 現在】神奈川県庁のトップページに、『県のデータが入ったハードディスクの盗難について』の項目が表記された。『2019年の重大ニュース』はトップから降ろされた。
神奈川県庁の情報漏洩問題のニュースを見れば見るほど気になることばかりだ…。
神奈川県庁のウェブサイトでは、2019年の重大ニュースをあなたが選んでくださいとある…。まじか?
□神奈川県庁の行政データが入るハードディスクがネットオークションに出品されていた事件で、東京・大田区の会社から別のハードディスクを盗んだ疑いで、50歳の男が逮捕された。
□この会社では、神奈川県庁が扱う個人情報を含む行政データが入ったハードディスクのデータ消去を請け負ったあと、ハードディスクが盗まれ、ネットオークションに出品されていた。
□高橋容疑者はこの件についても関与を認めていて、警視庁が捜査を進めている。
神奈川県庁で文書大量流出 ハードディスク持ち出した男逮捕
容疑者が勤めていた会社では、3年前から犯行が行われていたというから、ずさんな管理体制であったことは容易に想像がつく。しかも、中のデータの存在すら知ることなく、くりかえされていたようだ。オークションで落札したA氏が『復元ソフト』で復元したところ納税などに関する個人情報を含むファイルを見つけたという。
当然、新たにリユース目的での落札だから復元ソフトや初期化ソフトでハードディスクの状況を確認するのは当たり前の行為だと言える。
■神奈川県庁→富士通リース→ブロードリンク→オークションサイト→落札者A氏の流れ
□納税などに関する大量の個人情報や秘密情報を含む神奈川県庁の行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され、流出していた
□流出したHDDは、本来は復元できないように業者が破壊処理するはずだったものだ。行政が保管する膨大な個人情報が流出するという、ずさんな情報管理の実態が明らかになった。
□HDDは、県が富士通リース(東京都千代田区)から借りたサーバーに使われたもので、今春に交換時期を迎え、サーバーから取り外された。富士通リースは県との契約に基づき、データを復元不可能な状態にする作業を、情報機器の再生事業を手がけるブロードリンク(同中央区)に委託。同社に対し富士通リースは、破壊して作動しないようにしてから廃棄するか、データを完全に消去するよう指示していた。
□ブロードリンクの男性社員が5日夜、朝日新聞の取材に応じ、持ち出しと転売を認めた。
関係者によると、男性は同社でデータ消去を担当していた。HDDの中に行政の情報が含まれていたことについては、「私は知らないです」と話した。
この、朝日新聞の図解からみると流れは非常に明確だ。初期化はすれど、完全なるデータを破壊すべきところは、ブローロリンクの担当社員がおこなうはずが、その当該社員が小遣い稼ぎにオークション出品できる環境にあったわけだ。
■すべては、当事者意識の問題ではないだろうか?
当然、この神奈川県庁のリースでサーバーを運用することに関しては、まったく問題がない。県でサーバを購入して管理するよりもリースで運用したほうが効率が良いからだ。しかし、それはハード面での運用だ。ソフト面やサービス面での運用はサーバー管理者側に責任がある。
県庁の一職員らは、サーバーの内部のデータなどを消去などできないので、まずは、神奈川県庁のサーバー管理者の当事者意識が非常に問題となるだろう。リース機関が終わった重要なデータは、単なる初期化だけでよかったのだろうか?データ復元ソフトなどで復元できないように、二重、三重に渡る上書きや初期化は、サーバー管理者であれば問題なくできる作業であったはずだ。
そこにあるのは、『富士通リース』という専門業者の存在だろう。富士通リースのサイトでもトップページで、この状況を報告している。
2019年12月6日
富士通リース株式会社
□神奈川県様向け当社リース物件の契約満了後、当社は対象物件のデータを復元不可能な状態にする作業(データ消去、破壊処分)を株式会社ブロードリンクに業務委託しておりました。
□この度、同社従業員により当該ハードディスクの一部がネットオークションで販売された事実が確認され、本日、同社から警察に被害届を提出し受理されたとの連絡を受けております。
今後、当社としましては警察による捜査に全面的に協力して参る所存です。
□お客様、関係各位におかれましてはご心配ご迷惑をおかけして誠に申し訳ございません。
当社はこのような事態を発生させたことを重く受け止め、真摯に対応して参ります。
■「企業PC買取 No.1」のブロードリンクのウェブサイトでは…
□当該従業員に社内調査を行ったところ、本件における事実関係を認めており、当社としては本日(2019年)(12 月 6 日)午前中に、警察に届け出を行いました。今後は、警察ほか各行政機関には全面的に協力し、事態の早期解明に努めます。
当社は会社としての管理責任を重く受け止め、本件での対策本部を設置し、原因追求と管理体制の強化など再発防止に向けて全力で取り組んでまいります。また、公表できる事実が判明しましたらホームページなどにおいて速やかに情報公開していきます。
とある。
■当事者意識のまったくない自虐ネタの神奈川県庁のウェブサイト
しかし、神奈川県庁のサイトでは今回の情報漏洩をどう認識しているのかと思い、ウェブサイトを確認してみた。
なんと、一番目立つところに、『2019年重大ニュース、あなたが選んでください』…とある。いや、これはタイミングが悪すぎる…まさに、この今回の情報漏洩が重大ニュースだろう…。まさに自虐ネタとなっていることに、県庁職員は気にならないのだろか?
この重大ニュースの企画はすぐに取り下げるべきだろう。不安がる神奈川県民の気持ちを、まったく無視しているとしか思えない。神奈川県庁のサーバー管理のルール上に問題があったことをまったく認識していないのと同等だ。
企業でもウェブサイトの運用と広報が一致しない場合も多々あるが、このようなインシデントに直面した時に、ウェブサイトが何よりも、重要な広報ツールなのだ。それが機能できないウェブサイトであれば運用する意味は一体どこにあるのだろうか?
むしろ、このハードディスクの情報漏えい事件はトップページで、しっかりと顛末と現状と今後の対応をお知らせする案内を掲示しなければならない。該当のページは、記者発表の項目で見ることができる。遺憾の意よりも、まずは県民への謝罪だ。
自分の仕事を全うするのが、公務員の仕事だが、民間であれば、会社のブランドについても全社員がコミットメントする。…であれば、この県庁の『重大ニュース募集』の企画はすぐに取り下げたいと思って不思議でない。しかし、土日でお休みだから月曜日以降なのか…。民間の会社ならば、土日で、潰れてもおかしくないインシデントである。
■神奈川県庁発表『リース契約満了により返却したハードディスクの盗難について』
県が富士通リース株式会社横浜支店とのリース契約満了に伴い返却したサーバーから、県のデータが消去される前のハードディスクが盗まれたことが判明したのでお知らせします。
結果として、県の情報が外部に出てしまったことは、県民の皆様に不安を与え、県への信頼を揺るがすものであり、誠に遺憾であるとともに、県民の皆様に、深くお詫びいたします。
1)経過
・令和元年(2019年)11月26日(火曜日)夕刻、県の情報と思われる電子データを持っているA氏の仲介者から、県のデータで正しいか確認してほしいとの連絡があり、翌11月27日(水曜日)に電子データの内容を確認したところ、県の内部情報と思われるものが複数確認できました。
・A氏はオークションサイトから購入した中古のハードディスクについて、データ復元ソフトウェアを使用したところ、一部データが復元できたとのことで、A氏から任意で提供されたハードディスク1本のシリアルナンバー(個体番号)が、県から富士通リース株式会社横浜支店に返却したものと一致したため、情報流出があったものと認め、同社に対し事実確認を指示しました。
・調査の結果、同社がデータ消去を委託している株式会社ブロードリンクの社員1名が18本のハードディスクを作業前に盗んでオークションサイトに出品し、すべて落札されていることが12月5日(木曜日)に判明しました。
(2)被害状況
・現在、情報流出による具体的な被害の発生は確認できていません。
・今回外部に流出した18本以外のハードディスクについては、溶解処理や解体・圧縮処理されており、情報流出の事実は確認されていませんが、継続して調査しています。
(3)現時点での対応
・A氏が落札した9本すべてのハードディスクは、12月5日(木曜日)午後8時に本人同意のもと既に県で回収済みです。
・横領事件については、株式会社ブロードリンクが本日(12月6日(金曜日))午前9時45分に警視庁大森警察署に告発しており、オークションで落札された残り9本のハードディスクの回収について警察の捜査にゆだねるとのことです。
原因
・富士通リース株式会社横浜支店から作業を請け負った株式会社ブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが横領可能な状態にあったことが一次的な原因です。
再発防止策等
・県では従前より情報漏洩防止のため、重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合、県内部の初期化作業でデータを全て消去し、さらにリース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としています。
・今後は、情報漏洩防止を徹底するため、契約満了時には、本県職員が立ち合いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行います。
出典:ホーム > 神奈川県記者発表資料 > リース契約満了により返却したハードディスクの盗難について リース契約満了により返却したハードディスクの盗難について
https://www.pref.kanagawa.jp/docs/fz7/prs/r0273317.html
これらのリリースにおいて、情報漏洩した部分には一切明記がなされていないのも気になる。納税データが漏洩しているにもかかわらずだ。さらに、記者会見の発表では『県庁の重要なデータ』も含まれると明言されている。残りの8台のハードディスクも気になるが、警察の捜査があればオークションサイト側が協力し、落札者への確認が取られることで時間の問題ではないだろうか?
■これは、神奈川県庁だけの問題ではないのかもしれない…
防衛省もブロードリンクと契約があり、富士通リースとの契約ともなると、埼玉県、千葉県、茨城県もある。
https://www3.nhk.or.jp/news/html/20191206/k10012204361000.html
■もしも、オークションの落札者A氏が善意の人でなかったら…?
今回の事件は、落札者のA氏が、回復ソフトでデータを発見し、仲介人を通じて、神奈川県庁に問い合わせたことによって判明した事件である。もしも、オークションの落札者のA氏が善意の人でなかったとしたらどうなったのだろう。神奈川県からは発表されていないが、納税リスト名簿という、個人の収入がすべて明らかになってしまう重要なリストを大量に保持できてしまっているのだ。闇社会へ高値で売買されていてもちっともおかしくないだろう。A氏の心がダークサイドにあれば、一財産築いていしまっていたかもしれない。そして、何よりも神奈川県の人々は、自分の情報がどうやって漏洩しているのかも気づかないままだったのだ。
神奈川県庁の職員は、神奈川県庁のサーバー管理者が。
神奈川県庁のサーバー管理者は、富士通リースが。
富士通リースは、ブロードリンクが。
ブロードリンクは、担当男性社員が。
担当男性社員は、ハードディスクをオークションで転売しただけ。
落札者A氏は、オークションで落札しただけで…では、終わらなかったから今日になっている。
落札者A氏に感謝したい。
今回の事件は、誰かに引き継ぐ前に、セキュリティの当事者感覚があれば防げた事故として認識しなければならない。まずは、初期化は上書きを重ねて、最低2回以上おこなってから廃棄を委ねるべきだ。
内閣府サーバの『さくらを見る会』のリスト並の復旧できない弁論で固めたセキュリティ対策を見習いたいほどだ
□安倍首相の『シンクライアント』方式だから『データ復元不可能』は問題発言だ!
https://news.yahoo.co.jp/byline/kandatoshiaki/20191203-00153460/
