個人情報を含む行政文書が保存されていたHDDが転売・復元可能な状態に

2019年12月6日、神奈川県庁において、個人情報や機密情報を含む行政文書が保存されていた3TBのHDD18個がオークションサイトで転売されていたことが各社報道で判明した。具体的な経緯としては、神奈川県がファイルサーバーのリース契約満了にともない機器をリース会社に返却した際、リース会社がこのHDDの廃棄処分を専門会社に委託。この会社のデータ消去担当者が、HDDの一部を持ち出してオークションサイトで転売していたというのだ。この問題は、オークションサイトでこのHDDを落札した人がデータ復元ソフトを用いて中身を復元したところ、神奈川県の情報と思われるデータが入っていたことがきっかけで発覚した。

世界最大規模！？具体的な流出規模は

神奈川県の発表によると、持ち出されたHDDは計18個で、そのうち9個は回収済み、ほか9個の所在は警察の捜査にゆだねられており、未だ不明のままだ（2019年12月12日時点）。流出した内容は個人名や企業名記載の納税通知書、法人名記載の税務調査後の通知、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿などの個人情報を含むデータで、持ち出されたHDDは1個当たり3TBの保存容量を有するため、18台分で最大54TBのデータが流出した可能性があり、世界最大規模ともいわれている。また、データ消去担当者はこれまでに7844個の電子機器類をオークションサイトに出品しており、そのうち3904個はHDDなど記憶領域を持つ機器だった。これらの所在は分かっておらず、問題が他の取引先にさらに拡大することも懸念される。

問題はどこにあったのか

では、データ消去担当者はどうやってHDDを持ち出すことができたのか。報道によると、同社は社員の所持品検査を抜き打ちで週1～2回行うのみで、担当者はそのすきを突いて持ち出した可能性が高いとされている。同社の管理体制の甘さが今回の不正転売につながったことは間違いないだろう。一方で、神奈川県側に落ち度はなかったのだろうか。今回の同社とリース会社との契約では、破壊後に写真などを添付した「破壊証明書」を送付する取り決めは交わされていなかったという。このような案件の場合、同社では破壊をトレースしておらず、持ち出しリスクが生じていた。神奈川県でも、リース会社からデータ消去の確認をとっていなかった。また、神奈川県がリース会社に返却する際、HDDは「初期化」したのみで、データ復元可能な状態だったという。これは県の正式な手続き手順に則ったもので、データの完全な消去はリース会社に委託することになっていた。

事業者はどんな対策をすればよいのか

今回の問題を受けて、神奈川県は再発防止策として、契約満了時に職員立ち合いのもとでデータ記憶装置を物理破壊させるとしている。もちろん、確実に物理破壊ができれば安心だが、これも「人」が関わる以上、職員による内部不正や立ち合い時の不手際など、ヒューマンリスクを完全に排除することはできない。また、内部不正はリース返却時だけでなく、いつでも起こり得るものだ。「万が一」に備え、恒常的・システム的に対策をしておくことが重要だ。

現実的な最善策は「暗号化」

システム的な対策として最も有効と考えられるのが、サーバーもしくはファイルそのものの「暗号化」だ。高度な暗号化が施されていれば、万が一ファイルが外部に不正に持ち出されても中身を閲覧することができないため、情報漏洩を防ぐことができる。ALSIのファイル自動暗号化ソフト「InterSafe FileProtection」は、ファイルをローカルもしくはサーバーへ保存する際に自動的に暗号化する。ファイルはAES-256bitで高度に暗号化され、USBメモリやメールで外部に持ち出しても開くことができない。また、権限のあるユーザであれば内部環境では通常通りの操作で閲覧、編集ができ、拡張子も変わらないので、業務効率を損なうことがない。暗号解除などのファイル操作ログは全て記録され、指定した条件で管理者にアラート通知することも可能だ。

今回の事件のような委託先による内部不正だけでなく、猛威を振るう「Emotet」のような外部からの脅威など、企業・組織は常に様々な情報漏洩リスクにさらされている。「万が一」に備えた早めの対策が肝要だ。

「InterSafe FileProtection」について詳しく知りたい方は、次のリンクからお気軽にお問合せ・ご相談ください。

→→お問い合わせ・ご相談はこちらから

＞＞＞「InterSafe FileProtection」について詳しく見る