先日、『富士通リース』が廃棄を委託した業者『ブロードリンク』から『HDD(ハードディスク)』が持ち出され、オークションサイトで転売された後に情報流出が起きた事件、あなたならどう考えますか?
皆さん、こんにちは。
業務改善を行う業務コンサルタント、高橋です。
冒頭に書いた事件は他人事ではありません。
他の公官庁や企業においても同じことが起きており、自社においても起き得ないとは言えない事件です。
では、一連の流れの中で何に問題があったのでしょうか?
委託業者任せは情報流出を招く可能性
まず、報道を見る限りでは以下のように書かれています。
・HDD(ハードディスク)は神奈川県と富士通リースがリース契約を結び、今年の春まで神奈川県のサーバーで使用していたもの。
・リース契約満了に伴い、HDD(ハードディスク)は神奈川県が初期化作業にてデータを消去した後、富士通リースに返却された。
・富士通リースはブロードリンクにHDD(ハードディスク)のデータ消去作業を委託した。
・ブロードリンクの社員がHDD(ハードディスク)を盗み、オークションサイトで転売した。
・オークションで落札した購入者が情報提供し、一部のHDD(ハードディスク)は返却された。
概ねこのような流れのようですが、ここにはいくつかの問題点があります。
・神奈川県から富士通リースにサーバーが返却される際、何故神奈川県内部にてデータの復旧を不可能にする作業を行わなかったのか。
(消去の方式はいくつかありますが、時間を要するだけで手順に沿って行えば誰でも行える作業です。)
・リース契約とは言え、記憶装置に関しては返却しない契約にできなかったのか。
(データを一定の基準以上の方式にて消去し、その後に物理的に破壊することを神奈川県にて行えば良かったと思える。)
・神奈川県、富士通リースともに、何故委託先業者に任せたままであったのか。
※ ここでブロードリンクに対する疑問を記載していないのは、あまりにも管理体制がずさん過ぎるとしか言えないため記載するまでもない論外的な話として捉えてください。
これらの内容に関しては他人事ではありません。
個人情報をはじめとする多くの情報を事業者は必ず抱えています。
神奈川県の問題と同じことが起きないよう、自社においても記憶装置に関する廃棄手順をしっかりと策定し、それを遵守していくことが非常に重要であると言える事案です。