神奈川県庁の行政文書が格納されたHDDが個人に流出したことで大きな問題となっています。
今回流出とありますが、ネット上に出たわけではなく、中古品として購入したHDDを復元した人の手元に情報がある状態になっています。
なぜ流出してしまったのか、流出経路や流出させた会社について調べていきます。
流出経路について
今回県データが流出した経路は以下の通りです。
県庁は、ファイルサーバーの刷新で、旧サーバのHDDをリース契約を結んでいた「富士通リース株式会社」へ返却します。
返却の際には、県職員ができる範囲でHDDの初期化を実施したうえで返却しています。
「富士通リース株式会社」はHDDの処分を委託会社の「株式会社ブロードリンク」へ依頼して廃棄します。
「株式会社ブロードリンク」内では、持ち込まれたHDDを解体し、物品登録したうえで廃棄する手順となっています。
この、廃棄段階でブロードリンクの社員1名がHDDを盗み、オークションサイトへ販売したとのことです。
販売したのは計18本で、うち9本は県が回収済み、残りの9本については落札者のIDは把握済みとなっているようです。
ただ、回収した9本は購入者によって復元され、データを保存されている状態となっています。
復元した方の連絡で、今回の事件が発覚していることから、悪用される可能性は低いと考えられます。
残りの9本についてはデータの詳細が不明となっています。
県情報を流出させた直接的原因の会社の詳細
上記に説明したように、流出の直接的原因となった会社は「株式会社ブロードリンク」という会社です。
企業PCの買取や、データの完全削除などを請け負っている会社となります。
【社名】株式会社ブロードリンク
【設立】2000年3月8日
【本社】〒103-0022 東京都中央区日本橋室町4-3-18 東京建物室町ビル8F
【資本金】4億827万5千円
【代表取締役社長】榊 彰一
株式会社ブロードリンクの公式サイトには、不正行為についての声明も出ています。
声明のリンクはこちら
この会社では、データ削除の安全性をアピールしている様子が見受けられ、信頼を勝ち取って今に至っています。
企業PC買取No.1を謳っているため、企業信頼度も申し分なかったでしょう。
HDDを盗みオークションサイトに転売した従業員は、「県のサーバから取ったHDDというのは知らなかった」と話しており、神奈川県に対する嫌がらせということではないようです。
ブロードリンク社は、転売を行った従業員に対して刑事告訴をしており、対応が進んでいるようです。
神奈川県の対応
今後HDDの契約満了時には、県の職員立ち合いの元、HDD取り外しから物理破壊まで一貫して行うように契約内容を見直しすると、再発防止について話をしていました。
また、今回流出したデータについては、直ちに「削除もしくは県に返して欲しい」と協力を呼び掛けています。
現状、県データを悪用された形跡はなく、HDD購入者に留まっていますが、少なくとも購入者1名に個人情報を含むデータが流出したことには変わりありません。
神奈川県知事は早急な解決を目指していることを発言していました。
今回の事件が原因で、「富士通リース株式会社」との取引を辞める考えは現状無く、再発防止について話し合う方針を明らかにしています。
データを復元した本人は捕まらない?
今回の事件が発覚する元となった、HDDを復元した購入者については、現状捕まることは無いです。
ただ、県職員が使う以外で情報を扱った場合は犯罪となり捕まります。
復元したデータを県職員が確認したところ、完全な復元には至っておらず、壊れたデータもあったようですが、一部個人情報が確認できる事例が存在したそうです。
県知事の話だと、HDD本体は県に返却されたが、復元データは購入者が持っているとのことなので、慎重に対応しなくてはいけません。
残りの9本のHDD購入者についても、現在仲介者を挟みつつ連絡を取っている段階とのことです。
データの暗号化はしていなかった?
そもそもHDD内のデータを暗号化していれば、復元されてもデータが分からなかったのではと記者からの質問がありました。
回答は、「膨大なデータ量を暗号化できる装置は5年前になかった。今後についてはHDDに暗号化技術が導入されているものを利用している。」とのことでした。
最後に
今回の事件は、PC買取業者の従業員個人が行った犯罪によって起きています。
個人の犯罪とはいえ、責任は雇っていた会社にも及びます。
会社としては信頼のもとに企業と契約していたこともあり、今回の事件は大きな打撃となるでしょう。