2019年12月6日 初稿
今日、目に入ったニュースが非常に気になりました。神奈川県の情報流出のニュースです。かなりの問題だと思うので、記者会見の動画を見ながら、断片的に情報をピックアップしてみました。どういう問題なのか、どうするべきなのか、考えたいと思います。
記者会見動画からの情報ピックアップ
・神奈川県庁にサーバーをリースしている富士通リース株式会社横浜支店から、古いサーバー(更新用)のハードディスクの破壊業務を請け負ったブロードリンク社の社員が、物理破壊をせず、18本のハードディスクドライブ(以下HDD)を盗んだ。1本あたり3TBのもの。
・盗まれたHDDがオークションサイトで販売された(小遣い稼ぎのようなもの)。
・ある落札者(A氏)がデータ復元を行ったところ、県のものと思われるデータが復元されたので県に連絡・確認したところ、確かに県のデータだと確認された。(この時点で、データが流出したということは否めない状態)
・データには県庁の複数の局の公開資料、内部資料、一部個人情報(納税情報など)が含まれている(これはある1台のHDDからの情報)。
・復元されたデータを県の方が一部確認したところ、明らかに不自然なファイル名だったり、ファイルを開くとファイル名とは関係ない情報、といった不完全な形で復元されたもののようであった。ただし全て確認したわけではないし、個人名が特定できることもあるため、個人情報の流出であることは否定できない。
・盗まれた18本のHDDのうち、9本を回収、残り未回収9本は他の落札者が持っている。(盗まれた18本以外のHDDは、物理破壊・圧縮処理(鉄くず化)して処理している。)
・ブロードリンク社は警察に告発済み。残り未回収9本は警察が捜査する。
・当該HDDは暗号化されていなかった。全庁で使うデータを扱うファイルサーバーでは導入当時(5年前)には暗号化されたHDDは選択肢になかったため。
・県としては、HDDを落札・復元した方(おそらくA氏のみ)にお願いして、データを削除することに同意いただいている。
・県では情報流出への対策に万全の体制をとっている。「総務省の基準を完璧に満たしたトップレベルである」。それにも関わらず人が(物理的に)盗んで流出が起きることは「想定していなかった」。
・盗んだ社員は、神奈川県のHDDだとは知らなかった。(ということは、他の企業のHDDについても盗まれている可能性あり)
被害は大きいのか、小さいのか
もし、悪意のあるハッカーがネットワークに侵入してデータを盗んだとなれば、どうしようもない事態ですが、今回の場合はデータ消去されたものを復元した結果、不自然なファイル名や、開いてみても中身は関係ない情報が見られた、とのことです。ただし、個人名が分かることもあるので、個人情報は流出してしまっています。
とはいえ、復元した関係者と神奈川県とで誠意のある対応が行われているようですので、ポジティブに考えれば被害はそれほど大きくなく、今後の「想定外の事態」を防ぐための対策をしっかり取る必要がある、と社会全体が認識を高めるケースになることを祈ります。
今後の対策は?
破壊するという契約である以上、破壊が必ず行われたのか、神奈川県職員の立会いのもと破壊を見届けるような仕組みを考えていくそうです。
もちろん、サーバーから取り出したあと、こっそりデータを抜き取ってしまうことも、できないような管理・監視の仕組みが必要です。
他の企業の情報は大丈夫なのか?
これについては気になるところです。今回HDDを盗んだブロードリンク社の社員が「盗んだHDDが神奈川県のものとは知らなかった」と述べているとのことですので、逆を言えばランダムに他社のHDDも含めて盗み、販売した可能性があります。
ブロードリンク社のウェブサイトには、以下の主要取引先が記載されています(2019年12月6日時点)。神奈川県庁以外にも、これらの企業情報について情報流出がなかったかどうか、ブロードリンク社は調査し、説明することが求められます。
ブロードリンク社のウェブサイトに掲載されている主要取引先
- マイクロソフト
- 東京センチュリー株式会社
- 富士通リース株式会社
- 三井住友ファイナンス&リース株式会社
- 三井住友トラスト・パナソニックファイナンス株式会社
- オリックス環境株式会社
- リコーリース株式会社
- JA三井リース株式会社
- 株式会社芙蓉総合リース
- 日本アイビーエム株式会社
- 株式会社三菱東京UFJ銀行
- 株式会社三井住友銀行
- 朝日生命保険相互会社
- 三井住友海上火災保険株式会社
- 損害保険ジャパン日本興亜株式会社
- 株式会社東京証券取引所
- 大和証券株式会社
- 岡三証券株式会社
- みずほ証券株式会社
- SMBCコンシューマファイナンス株式会社
- 日産自動車グループ各社
- 三菱重工業グループ各社
- 株式会社デンソー
- 富士フイルムホールディングス株式会社
- 中国電力株式会社
- 東北電力企業グループ
- 清水建設株式会社
- 株式会社長谷工コーポレーション
- 日本郵政グループ各社
- 東日本旅客鉄道株式会社
- 株式会社セブン&アイ・ホールディングス
- 株式会社ファーストリテイリング
- 最高裁判所
- 防衛省
- 官公庁・地方自治体
自分のPCのハードディスク、どうする?
こういった大きな問題を目の当たりにすると、私たちが個人で使っているパソコンのHDDも、きちんと破壊処理しなければ、どこでどう流出してしまうか予想がつかない気がします。
調べてみたところ、やはり「物理破壊」これに尽きるようです。
水に漬けて錆びさせたり、ハンマーで外からたたくだけでは、本当に破壊されたかどうか分からないので、ちょっと不安です。
電機店など、専門電では目の前で破壊し、返却してくれるサービスもあるようです。
ビックカメラやソフマップのHDD破壊サービスを利用するのがよいのでは?
検索すると一番上にはビックカメラのHDD破壊サービスが出てきました。
これは分かりやすいですね。目の前で破壊して、返却してもらえるのであとは燃えないゴミの日に出せます。
これで1,020円なら安いと個人的には思います。
2番目にはソフマップのサービスも出てきました。これも同じお値段で1,020円・・・内容もまったく同じサービスのようです。
自分でHDDを分解して、さらに物理破壊できるなら、それもアリ
1,020円が高いと思われる場合は、自分でHDDを分解し、さらに内部のデータ記憶装置を物理的に破壊してしまえば、安心だと思います。
実は私は以前、古いHDDを壊そうと頑張ったことがあります。ただ、内部のディスクまでたどり着くことができず、結局数ヶ月間ベランダに野ざらしにして・・・それでも捨てられず自宅に眠っています。
おそらく電動ドリルがあれば・・・穴をあけて物理破壊ができると思うのですが・・・
このHDD分解&物理破壊については、後日再度詳しく調べてみます。自分のHDDがあるので、これを機会に壊してみたいと思います。
とにかく、今回の神奈川県のHDD盗難、個人情報流出の事件については、大きな被害が出ることなく、今後の課題と対策が明確にされて落ち着くことを祈ります。