神奈川県庁の個人情報流出事件はどんな対策が必要になるのか考える

時事ネタ

こんにちは!

12月6日に神奈川県内の個人情報が保存されたHDDが転売され、個人情報流出が懸念されているとのことで大きなニュースになりましたね。

現状判明している被害状況としては、「個人名や住所が記載された納税記録や企業の提出書類、起案文書などが幅広く含まれていた」としており、それだけでも甚大な被害が出ていることは想像に難くありません。

今回はこのニュースに関して事件の経緯を振り返り、IT分野で勤務している管理人の知見から今後の対策について考えていきたいと思います。

 

個人情報流出の経緯

まずは今回の事件の経緯について振り返っていきましょう。

現状公開されている情報をまとめると以下のような状況だと考えられます。

  1. 神奈川県庁が富士通リースからレンタルしているサーバのHDD返却時期を迎える
  2. 神奈川県庁内でHDDを初期化して返却
  3. 富士通リースが返却されたHDDのデータを復元不可にするようブロードリンクへ依頼する
  4. ブロードリンクの作業担当者がHDDを社外へ持ち出す
  5. 作業担当者が持ち出したHDDをオークションで転売する
  6. オークションの落札者がHDDのデータ復元をしたところ個人情報が含まれていたことが発覚

 

この中でPC周りなどIT系に明るくない方が気になるのは「初期化されたHDDのデータが復元されてしまったこと」だと思います。

結論から言うと、ただ単に初期化をされただけのHDDであれば、専用のソフトさえあればデータの復元はできてしまいます

そのため、今回のように重要性の高い情報が保存されていたHDDに関しては暗号化をした上で、最後は物理的に破壊するような対応を行うことが基本となります。

今回はそういった対応が抜けた状態でHDDが転売されてしまったために、落札者側でのデータ復元ができてしまったわけなんですね。

 

考えられる原因と今後の対策

では今回の経緯を踏まえて原因と今後の対策について考えていきましょう。

 

個人情報流出の原因

まずは個人情報流出の原因ですがこれは非常にシンプルで、以下2点です。

  • 保存されているデータの重要性に対して、職員の意識が釣り合っていないこと
  • HDDのデータ消去に関して委託先へ任せきりにしていたこと

 

そもそもの話として、今回の個人情報流出事件の原因は「委託した側がデータ消去の事実を確認しなかったこと」にあります。

当然ですね、事実確認をしていればそもそもHDDが転売されるという事態には発展しないわけですから。

もちろん委託された側のブロードリンクの管理体制が甘いという部分は当然責任があります。

しかし、今回のように重要度の高いデータに関しては委託する側も対応状況を確認するべきでした。

 

今後の対策

では、今後どのようにして同様の事態が発生しないようにするかですが、原因についての話で出ている通りですね。

神奈川県庁職員・富士通リース社員もデータ消去の事実確認を行うこと」です。

理想を言うのであれば県庁の外に持ち出す前に暗号化・HDDの破壊を行うことがベストですが、これは県庁と富士通リースとの契約内容が関係するため、実現できるかは分かりません。

現実的に可能なラインとなるとブロードリンクがデータ消去を行う現場に立ち会うというあたりが妥当なラインになるでしょう。

 

まとめ

今回は神奈川県庁の個人情報流出事件について、事件の経緯と原因、そして今後の対策について記事にしていきました。

行政が持つ個人情報というのは重要性が非常に高いだけに、今回のような流出が起こってしまうと被害者に多大な影響が生じることが想定されます。

今回は神奈川県で事件が発生しましたが、当然それ以外の行政や企業でも同様のリスクもありますし、それ以外にも流出経路は複数存在します。

各々が抱えている顧客などの個人情報の重要性を再度認識し、個人情報流出の事件が少しでも減ることを一消費者として願っています。

 

以上!

コメント

タイトルとURLをコピーしました