叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

神奈川県HDD転売・情報流出問題を振り返る

f:id:slowtrain2013:20200613151856j:plain
わたし達の個人情報は予期せぬことで流出します。

その事例として2019年末に起きた「神奈川県ハードディスク転売・情報流出事件」は衝撃でした。

f:id:slowtrain2013:20200504135612p:plain
神奈川県ハードディスク転売・情報流出事件
神奈川県からハードディスクを回収したのは、ブロードリンクという廃棄業者です。但し、神奈川県とブロードリンクとの間での直接的な契約はなく、両者の間に富士通リースが商流で絡んでます。富士通リースはブロードリンクに作業を丸投げしてました。

ブロードリンクの社員は破壊するべきハードディスクを盗難しました。それをネットオークションに転売しました。それを落札した人がディスクを復元したところ、神奈川県の行政情報が含まれていることが判明しました。

落札した方が朝日新聞社に情報提供したことから、この事件は朝日新聞のスクープとして2019年12月6日に「世界最悪級の流出」として世に出ました。
www.asahi.com
わたしは朝日新聞を購読してます。記事を目にし、神奈川県民としてとてもびっくりしました。

その後の経緯に関心を持っていましたが、2020年になると新型コロナウイルス問題一色となり、この事件は急速に風化しました。神奈川県では再発防止策を検討するための検討チームを発足し、事件後4回の検討会議を開催していますが、全容は明らかにないままに終息する可能性が高いと思います。

この事件は単なるひとりの元社員の窃盗事件で片付けてはいけません。
www.asahi.com

わたしたちが預けている個人情報・・・本来、信頼出来る公的な組織で、まったく安全に管理されていないことを世に知らしめた重大なセキュリティインシデントです。現在でも神奈川県では回収した18個を除く、378個のハードディスクが適切に処分されたかが把握出来ていません。

この事件は3つの大きな問題を提起したと捉えています。

1.公的機関が情報セキュリティポリシーを遵守していない

総務省地方公共団体における情報セキュリティポリシーに関するガイドラインを定めています。これは、地方公共団体の組織に於いての情報セキュリティを確保するための方針、体制、対策等を包括的に定めた文書です。

このガイドラインでは、情報資産を廃棄するにあたって、以下の基準を設けています。

機器の廃棄等
情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
「地方公共団体における情報セキュリティポリシーに関するガイドライン(平成 30 年 9 月版)」より

神奈川県から廃棄予定のハードディスクが外に出る前の段階で、初期化を行い、情報を復元できないように処置をする必要があります。これが出来ていなかったことがインシデントとなった最大の要因です。これは神奈川県の影響下で実施する作業です。しっかりやっていればインシデントを防げたのです。

公的機関である地方自治体がセキュリティポリシーを遵守していない事実に愕然とするばかりです。

2.ISMS適合性評価制度の信頼性を揺るがした

ISMS適合性評価制度とは、組織のISMSが基準にのっとり、適切に組織内に構築・運用されていることを第三者機関が審査して、評価・認証する制度です。ISO/IEC 27001(情報セキュリティマネジメントシステム-要求事項)を認証基準としています。

ISMSの要求事項のなかで、人的資源のセキュリティを定めています。経営陣は従業員に対し、ISMSの役割と責任を認識させて、ルールを遵守するよう求める必要があります。情報セキュリティの意識向上のための教育、訓練を行う必要があります。

機器の廃棄を請け負っているブロードリンク社は、ISO/IEC 27001を認証しています(この事件により一時停止措置が取られ、4月23日に解除されています)。

わたしたちは「ISMSの認証を取っている会社」ということで、しっかりしたセキュリティ対策をしている会社だと認知します。この事件はISMS適合性評価制度の信頼性を揺るがしたのです。

3.委託者の責任を果たさず再委託先に丸投げ

富士通リースは神奈川県に対して「データ消去作業報告書」を出す必要があります。しかし、それは実施されませんでした。これは、業務を再委託先であるブロードリンク社に丸投げしているためです。そもそも富士通リースとブロードリンクの契約では「データ消去作業報告書」は含まれていなかったとのことです。

マージンによる利益を生み、かつ不当に責任を逃れる温床が丸投げです。

丸投げは日本のIT産業の慣習化した構造です。この構造を改善しない限り、IT産業全体の無責任体質からの脱却はできないでしょう。