自治体の情報セキュリティー世界最悪級の自治体情報流出の原因と対策(2)

株式会社Public dots & Company取締役
福島県磐梯町CDO(最高デジタル責任者)
一般社団法人Publitech代表理事
(介護福祉士)
菅原直敏

ハードディスク(HDD)の廃棄処分を受託業社の下請け企業社員が処分すべきHDDを社外に持ち出して、インターネットのオークションサイトで転売したと報じられた神奈川県のHDD外部流出のニュース、この事件の流れを追い、その原因と自治体における対策について考察します。第2回は事件の原因を解説します。(第1回の投稿はこちら

事件の原因

本事件の発生原因は、富士通リース、ブロードリンクそして神奈川県の3者のそれぞれにあります。以下、その原因について考察します。

富士通リースにおける原因

富士通リースにおける原因は、ブロードリンクに対する監督責任を怠ったことです。本来は、同社が責任を持って廃棄処分する責務を県に対して負っています。しかし、その責務を果たさないばかりか、下請け業者に業務を再委託した際に監督責任を怠り、業務の完遂を確認していませんでした。
この背景には、元請け業者が下請け、孫請けに業務を再委託することが一般的になってきているIT業界の構造的な問題も関係しています。

ブロードリンクにおける原因

ブロードリンクにおける原因は、データ消去やHDD廃棄における管理体制が杜撰であったことです。同社の社員だった容疑者は、警察の取り調べに対して「簡単だったので毎日のように盗んだ」と供述しており、同容疑者がブロードリンクに入社した2016年以降に、オークションサイトに出展された記憶領域のある商品は3904点(全てが盗難品ではない)と内部調査で明らかにされたことも加味すると、同社の業務が相当杜撰であったことがうかがえます。
同社は今後、発注元の富士通リースに対して法的・道義的責任を負うと同時に、事件の大きさを考慮すると大きな社会的責任も負うことになります。

神奈川県における原因

神奈川県における原因は、基本的な情報セキュリティー対策が機能していなかったことです。知事は事件発覚後最初の記者会見において、「想定外」という表現を用いました。これが、県の情報セキュリティー対策に対する姿勢の全てを物語っています。
実は、神奈川県はセキュリティーポリシーを策定しており、第1章6(2)に「職員等及び委託事業者の従業員による誤操作、故意の不正アクセス又は不正操作による情報若しくはプログラムの持出し、盗聴、改ざん及び消去、機器及び媒体の盗難、正規の手続きによらない端末及び媒体の接続による情報漏えい等」を情報資産への脅威として挙げています。つまり、今回の事件は「想定内」の出来事です。
また、最も基本的なデータの暗号化やHDDの廃棄処理の確認作業も行っておらず、セキュリティーポリシーが形骸化していたと言えます。
従って、この事件は、直接的な原因をつくったブロードリンクや間接的原因をつくった富士通リースも非難されるべきですが、元を正せば、神奈川県が情報セキュリティー対策を怠ったことによる人災と考えられます。

自治体における対策

神奈川県の事件も踏まえ、個人情報のデータ消去とHDDの廃棄処理という視点から、自治体はどのような対策を取るべきなのかについて考察します。

セキュリティーポリシーの運用状況の確認

まず考えられる対策は、セキュリティーポリシーの運用状況の確認です。
現在、ほとんどの自治体でセキュリティーポリシーの策定を行っているため、形としての情報セキュリティーの指針は存在します。しかし、神奈川県はセキュリティーポリシーを策定し、情報監査まで行っていたにもかかわらず、今回の事件が発生しました。従って、セキュリティーポリシーが存在することに安心するのではなく、それが実質的に機能しているかどうかを確認し、担保していくことが重要です。
実は、これは非常に骨の折れる作業です。基本的には、職員の意識をどこまで高めていくかということと関連するからです。情報セキュリティーに関する研修を行ったり、情報漏洩が生じないような仕組みを検討したりと、地道な作業になります。

データ消去やHDD廃棄処分の方法の見直し

次の対策は、データ消去やHDD廃棄処分の方法の見直しです。今回の事件で指摘されたのは、そもそもHDDの処理を業者に外注すべきだったのだろうかということや、外注するにしても下請けへの再委託を禁じたり、廃棄処分の現場に立ち会ったりするべきだったのではないかということです。
神奈川県と富士通リースの契約を読み返すと、実質的にはHDDの処分が富士通リースに丸投げされていたことが分かります。各自治体においても、現在どのような方法で廃棄が行われているのかを再確認し、適切な方法に見直すことが必要です。

HDDの物理的破壊

最後の対策は、HDDの物理的破壊です。実はこれに勝るものはないかもしれません。実際、前述したように事件が発覚した日、総務省は物理的に壊すか、強力な磁気を当てて使えなくするよう求める通知を出しました。
職員の業務量との兼ね合いもあるのかもしれませんが、扱う情報の重要性を考慮すると、有力なオプションです。

次回は、過去に起きた他自治体の事案なども交えて、今回の事件を考察します。 

(第3回に続く)

プロフィール

菅原直敏(すがわら・なおとし)
株式会社Public dots & Company取締役。介護のハッピー合同会社CDO(ChiefDigital Officer)兼ソーシャルワーカー(社会福祉士、精神保健福祉士、介護福祉士、保育士)。一般社団法人Publitech代表理事。神奈川県議会議員。経営者、被用者、議会・行政に関わる立場を併有し、GRを実践。専門領域は、介護・福祉、地方自治、最先端技術。上智大学法学部法律学科卒業。1978年生まれ

おすすめの記事