重要な個人情報を保管するHDDの廃棄を請け負った業者がHDDを盗み、インターネットオークションで販売する――。神奈川県庁の行政文書流出事件は、HDDを廃棄する際、契約業者を全面的に信用して委ねる「性善説」をとってきた多くの自治体に衝撃を与えた。国は、自治体職員が業者の廃棄に立ち会うよう求めるなど改善に乗り出したが、時間や労力がかかることもあり、現場には困惑が広がっている。
今回の事件では、逮捕された男は従業員が少ない時間帯を狙い社内からHDDを盗み出したとみられ、「3年以上前からやっていた」などと供述をしているという。
事件を受けて総務省は12月6日、個人情報が大量保存された記録装置の処分について、物理的に壊すなどして使えなくするよう全国の自治体に通知。作業完了まで職員を立ち会わせることも求めた。
ただ、自治体などが使っているHDDは、リース(長期賃貸)であることも多い。その場合、所有権は業者にあり、埼玉県の担当者は「壊して返すことは所有権の問題から難しい」。別の自治体担当者も「1台なら専用ソフトで手間をかけずに消去できるが、何十台ともなると膨大な時間を要する」と打ち明ける。
通常、請負業者はデータ消去が終了した際、発注元に対して作業報告書を提出する。だが今回の事件で神奈川県はHDDの廃棄がリース先企業から専門業者に委託されていたことを把握せず、流出したHDDに関する作業報告書も受領していないなど、対応のずさんさも問題となった。
HDD内のデータを消去するには、ドリルで穴を開けるなど物理破壊が一番確実な方法だとされる。だが自力で物理破壊を行うには穴を開けるための専用の機械などを準備する必要がある。「作業を大量に行うには人手とスペースが足りない」(担当者)ため、神奈川県は今後、リース契約満了に伴い返却した機器については、物理破壊の現場に職員が立ち会う方針を示している。
それでも、ある関東近郊の自治体担当者は「業者の廃棄に立ち会うのは時間も人手もかかる。総務省は現場の実情を正確に把握していないのではないか」と打ち明けた。
情報セキュリティに詳しい立命館大の上原哲太郎教授は、「消去したと証明書を出しても、その質が担保されていない場合がある。神奈川県は最初から安全な消去の技術的要件を決めておくべきだった」と指摘。
その上で、「自主的なデータ消去が難しい場合、委託先の業者の作業が信頼できるかを担保するため、データが適正に消去されたかを審査する第三者機関もある。こうした手段を使うのも手だ」と話した。
https://www.itmedia.co.jp/news/articles/1912/18/news043.html
引用元: http://egg.5ch.net/test/read.cgi/bizplus/1576659707/
