ぶっ倒れている間に起きていたすごいこと。

kojinjouhou_man_rouei

神奈川県の重要な個人情報(納税情報など)を含んだHDDを廃棄するために初期化して業者(富士通リース)に引き渡し。再現不可能処理をお願いしたら、富士通リースから処理の委託を受けたブロードリンク社の社員がそのHDDを横流ししてネットオークションで販売。購入者がデータに気づいて通報、というお話。

 ▼「【独自】行政文書が大量流出 納税記録などのHDD転売」(朝日新聞)

納税などに関する大量の個人情報や秘密情報を含む神奈川県庁の行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され、流出していたことが朝日新聞の取材で分かった。県のサーバーから取り外されたHDDのデータ消去が不十分なまま、中古品として出回っていた。県によると、データの消去から廃棄までを請け負った業者の社員が、転売に関与したことを認めているという。

 流出したHDDは、本来は復元できないように業者が破壊処理するはずだったものだ。行政が保管する膨大な個人情報が流出するという、ずさんな情報管理の実態が明らかになった。

 転売されたHDDは縦約15センチ、横約10センチ、厚さ約2・5センチ。少なくとも9個あり、この中に保存されたデータの容量は27テラバイトに上る。仮に画像を添付したメール1通を3メガバイトとすると、900万通に相当する。神奈川県が調査を続けているが、情報流出の事案としては世界でもまれな規模に上る可能性がある。

 県が確認したところ、HDDは県庁内の各部局の情報を蓄積する共有サーバーに使われていた。中には、法人名が記載された税務調査後の通知や、個人名や住所が記載された自動車税の納税記録、企業の提出書類、県職員の業務記録や名簿類などが含まれていた。

 県によると、転売されていたHDDは、県が富士通リース(東京都千代田区)から借りたサーバーに使われたもので、今春に交換時期を迎え、サーバーから取り外された。富士通リースは県との契約に基づき、データを復元不可能な状態にする作業を、情報機器の再生事業を手がけるブロードリンク(同中央区)に委託。同社に対し富士通リースは、破壊して作動しないようにしてから廃棄するか、データを完全に消去するよう指示していた。

 県からブロードリンクに引き渡された時点で、HDDには簡易なデータ消去(初期化)が施されていた。HDDは都内にあるブロードリンクの施設で保管されていたが、データの消去作業の担当者が一部を持ち出し、オークションサイトに出品したという。

 出品されていたHDD9個を、IT企業経営の男性が仕事に使おうと落札。使用前に安全性を確かめるため男性が中身を確認したところ、データの存在に気づいた。復元ソフトを使うと、神奈川県の公文書とみられる大量のファイルが保存されていたという。

 男性からの情報提供を受け、朝日新聞が11月27日に県に情報流出の可能性を指摘。HDDに記されていた製品番号から、県のサーバーに使われていた実物と分かった。

 富士通リースは「現時点でコメントできることはない」としている。ブロードリンクの幹部は取材に対し、流出があったことを認めた上で「現時点では詳細を説明できない」と話した。

 ブロードリンクのウェブサイトには「主要取引先」として、複数のメガバンクや大手電力会社の社名のほか最高裁、防衛省などが挙げられている。(茂木克信)

さすがにクソすぎて声も出ないです。どこが悪いってブロードリンクが一番悪いんですけど、そんなクソな社員雇ってるようなところに委託してる富士通リースにも責任無いとは言えないし、これだけ重要な情報を扱っているにもかかわらずデータ消去の確認とかをとらない行政のシステムもどうかと思うし、こういったかたちの漏洩について契約で制御してないのもうーんとなる。

こちらの記事には、転売した(というか窃盗だよね……?)社員への突撃インタビューが。

▼「HDD転売者の一問一答 「行政文書とは知らなかった」」(朝日新聞)

 ブロードリンクの男性社員が5日夜、朝日新聞の取材に応じ、持ち出しと転売を認めた。

 関係者によると、男性は同社でデータ消去を担当していた。HDDの中に行政の情報が含まれていたことについては、「私は知らないです」と話した。

 ――ブロードリンクの○○さんですか。

 そうです。

 ――オークションサイトで販売されていたHDDは、あなたが出品したものですか。

 そうです。
「そうです」じゃねーよ。ロッテの名投手かよ。

ブロードリンクの主要取引先、まあ全部がデータ関連じゃないんだろうけど、大丈夫なんでしょうか。

▼「会社概要」(株式会社ブロードリンク)
torihikisaki


このちょっと前、複数自治体のクラウドデータがぶっ飛ぶという事件がありました。

▼「自治体向けIaaSで障害、中野区・練馬区などに影響 原因はファームウェアの故障」(It media NEWS)
12月4日午前11時ごろから、NTTグループの日本電子計算が提供する自治体向けIaaS「Jip-Base」で障害が発生し、東京都や愛知県などの一部自治体で税務処理や戸籍管理のシステムが使えない状態になっている。同社の広報担当者によると、5日正午時点でも「復旧のめどは立っていない」という。

これはこれでほんとにシャレになっていない話で、「やっぱ安全を考えるとクラウドよりオフラインだな」みたいな流れがあったんですが、今回の件で「消えただけクラウドのほうがマシだった」みたいな空気もあり、あまりのレベルの低さにめまいがします。

個人的には「気をつけてもどうしょうもない」のがクラウド側の事故(それでもバックアップとるとかすれば致命的なトラブルは避けられそうですが)、「9割人災だから頑張りゃなんとかなるけど頑張るのがしんどい」のが今回の事件、という印象。

行政情報みたいなきわめて重要度の高いデータは、手間と金をかけてでもきちんと守るべきだと私個人としては思います。そこに金をかけることについては、文句を言わないし言ってはいけない。年金データの処理・取り扱いを外部企業、それも海外のあんまり信用できなさそうなところに委託して案の定ボロボロになっちゃうようなことは、やっぱりあってはならないと思うのです。逆に、ある程度重要度が低いものに関しては徹底的に効率化をして、多少のことには目をつぶるくらいの覚悟で行く……。

そのような、重要性の軽重を判断してお金の割り振りを判断できるような人材こそ、IT担当大臣とかになって国の指揮をとってほしいものです。

まあ何にしても、記録メディアは今後物理的にぶっ壊すしかないですかね。レンジでチンとか、溶解液に浸けて溶かすとか……。