HDD転売はなぜ起きたか。原因のセキュリティ体制と再発防止策を説明──ブロードリンクが会見

「過去最悪級」の個人情報流出とも報じられている、神奈川県庁のHDDがデータを完全消去されないままオークションサイトに転売されていた問題。富士通リースからHDDの完全消去を委託され、またHDDを盗み出した社員が勤務していたブロードリンクが都内で記者会見を開催し、問題となったセキュリティ体制や、今後の再発防止策について説明しました。 事件の経緯としてはこうです。同社が富士通リースから完全消去を委託されていたHDDが外部に持ち出され、オークションサイトに転売されていたことが、外部からの情報提供で11月27日に発覚。同社内調査で従業員を特定し、本人に問いただしたところ、データ消去前のHDDなどを社内から持ち出し、転売した事実を認めました。その結果、12月6日に同社は同従業員を懲戒解雇。同日、神奈川県の大森警察署に通報し被害届を提出しています。 同社は次の7つのセキュリティ対策を講じていました。 1. 指紋認証ならびにカード認証によるデータ消去室の入退室管理 2. 誰がどの扉に何時何分に入退出しかたをログデータとして記録 3. 各所に設置した24時間監視のカメラ 4. 仕入れた全てのパソコン類にバーコードを添付し、入荷からデータ消去までをトレース 5. データ消去作業室からモノを持ち出せないように手荷物検査を実施 6. データ消去作業室のドアは1分間開けっ放しになるとブザーが鳴動 7. 入室時のユニフォームはポケットを縫い付けるなどの盗難防止体制 また、同社ではHDDについて、下記3つのデータ消去方法を用いていました。 1. 4点に穴を開けて物理的破壊 2. 磁気を瞬間的に照射してデータを破壊 3. 専用ソフトを使って乱数を書き込みソフト的に消去 加えてオプションとして、顧客が希望する現場に行ってHDDを破壊したり、顧客の目の前でHDDの消去・破壊作業を行うサービスも提供。顧客がデータ消去のエビデンスを求める場合には、オプションとしてデータ消去完了の証明書も提供していました。なお、今回の富士通リースとの契約では、データ消去完了の証明書を送る契約はありませんでした。 2つの管理上の問題 上記セキュリティ対策を講じていながら、なぜ社員によるHDDの盗難を許したのか。同社によると、下記2つの管理上の問題がありました。 1. HDDの個数管理が不十分だった 同社はパソコンからHDDを抜き出した際には、HDDの個数管理を行っていました。一方、抜き出したHDDは複数台まとめて破壊作業をしていて、破壊前と破壊後の個数の突き合わせを怠っていました。 2. 手荷物検査が不十分だった 同社はデータ消去室の入退室にあたり手荷物検査を実施していましたが、常時ではありませんでした。特に正社員はシフトを24時間単位で回しており、不定期な勤務体制だったこともあり、手荷物検査が形骸化していました。 再発防止策:空港にある金属探知ゲートを導入 同社は今後の再発防止策として、次の2点を提示しました。 1. HDDの個数管理が不十分だったことをうけ、今後は破壊前と破壊後でHDDの個数の突き合わせを実施。また、全てのHDDデータ消去を依頼した顧客に対し、破壊後と破壊前の写真を全件提出するとのこと。こちらはすでに実施済であるとのこと。 2. 操業時間帯はデータ消去室への入退室の全てにおいて、ハンディ金属探知を使った身体チェックと手荷物検査を全て実施するとのこと。こちらは準備が完了次第、警備員を検査業務に移行する方針です。 また、将来的には空港にある大型の金属探知ゲートを導入。セキュリティの担保と信頼の回復のために努力すると説明しました。 [Image credit: Getty Images]