調査・分析

自治体の情報セキュリティー 世界最悪級の自治体情報流出の原因と対策(1)

自治体の情報セキュリティー 世界最悪級の自治体情報流出の原因と対策(1)

株式会社Public dots & Company取締役
福島県磐梯町CDO(最高デジタル責任者)
一般社団法人Publitech代表理事
(介護福祉士)
菅原直敏

「納税記録・職員評定…秘密のはずが 世界最悪級の流出」との見出しを朝日新聞が速報したのは、2019年12月6日未明でした。神奈川県の行政データを記録した20テラバイト超のハードディスク(HDD)が外部に流出したことが明らかになりました(最終的には18台、54テラバイトと判明)。事件の概要は、HDDの廃棄処分を受託していた富士通リースが、その廃棄業務を情報機器再利用会社ブロードリンクに下請けに出し、同社の社員が処分すべきHDDを社外に持ち出して、インターネットのオークションサイトで転売したということです。このHDD盗難事件の流れを追い、その原因と自治体における対策について考察します。

(1)神奈川県のHDD盗難事件の流れ

偶然明らかになったHDDの盗難

12月6日、朝日新聞による速報が打たれ、メディア各社が追随する形で事件の存在を明らかにしました。事件が発覚したのは、オークションサイトでHDDを購入した者が、神奈川県の公文書と思われるデータを発見し、新聞社に情報提供をしたためです。つまり偶然です。

また、同日、黒岩祐治神奈川県知事は臨時記者会見を開き、県民に対して謝罪をすると同時に「サイバー攻撃に万全の体制で備えていた。人が物理的に盗み出すことを想定していなかった」と話し、情報管理体制やサーバーのリース業者との契約を見直す考えを示しました。併せて、データを暗号化せずに復元可能な状態でHDDを返し、破壊作業に県職員が立ち会うこともなかったことが明らかになりました。

この時点で、転売されたHDD18台のうち9台は回収されましたが、依然として9台は未回収の状態でした。

さらに、総務省は同日、住民の個人情報などが大量に保存された記憶装置の処分について、物理的に壊すか、強力な磁気を当てて使えなくするよう求める通知を全国の自治体に出しました。

容疑者の逮捕と他の取引先への波紋

12月7日、警視庁はHDDを持ち出してオークションサイトに出品した疑いでブロードリンクの50歳男性社員を逮捕し、「転売目的で複数回盗んだ」ことが明らかになりました。

12月9日にブロードリンクの榊彰一社長は記者会見を開き、謝罪と辞任を表明しました。会見の中で、流出したHDDは穴を開ける物理的な破壊対象だったにもかかわらず、該当のHDDは発注元である富士通リースから写真の提出を含む破壊証明書の作成・提出を求められていないことが明らかになりました。つまり、これらのことから富士通リースが発注元としての責任を果たしていなかったことがうかがえます。

併せて、富士通リースやブロードリンクと取引のある官公庁や自治体は、自らの情報が流出した可能性の確認と対応に追われることになりました。取引があったのは防衛省や最高裁判所といった国の機関から、地方自治体まで多岐にわたっています。
さらに、12月9、10日、神奈川県議会の各常任委員会において、本事件に対する質疑が行われ、県の情報セキュリティーに対する姿勢が厳しく問われました。

神奈川県と県議会の対応

12月11日、神奈川県は、県発注契約に関する不正または違反を理由として、富士通リースとブロードリンクに対して3カ月間の指名停止措置を取りました。

12月16日、県は「リース契約満了により返却したハードディスクの盗難に係る再発防止策検討チーム」を発足させ、効果的な再発防止策を早急に決定し、全庁的な情報管理の徹底を図ることを表明しました。
12月18日、富士通リースの小西秀智社長が神奈川県庁を訪れ、黒岩知事に「個人情報や情報セキュリティーに関して対応が不十分だったことを痛感し、反省しています」と謝罪しました。県議会では、事件の原因の一つをつくった富士通リースの当事者意識の低さに多くの批判が集中しており、知事も同社に対して指名停止期間の延長や、損害賠償請求などの法的手段を検討していました。

さらに、同日、神奈川県議会では「行政文書流出に対する猛省及び事件の再発防止を求める決議」が議会より提案され、可決されました。内容は、県当局に対して、このような事態を招いた一当事者として重大性を深く認識した上で、猛省を求めるとともに、情報関係の専門家の意見も踏まえ、一日も早い情報管理体制の強化を実現するため、その原因究明をしっかりと行い、徹底した再発防止策を講じることを強く求める、というものです。
12月21日、神奈川県は流出したすべてのHDDを回収したと発表しました。

第2回では、原因と自治体における対策について触れます。

(第2回へ続く)

プロフィール

菅原直敏(すがわら・なおとし)
株式会社Public dots & Company取締役。介護のハッピー合同会社CDO(ChiefDigital Officer)兼ソーシャルワーカー(社会福祉士、精神保健福祉士、介護福祉士、保育士)。一般社団法人Publitech代表理事。神奈川県議会議員。経営者、被用者、議会・行政に関わる立場を併有し、GRを実践。専門領域は、介護・福祉、地方自治、最先端技術。上智大学法学部法律学科卒業。1978年生まれ

スポンサーエリア
おすすめの記事