https://headlines.yahoo.co.jp/hl?a=20191209-00000085-zdn_n-sci 12/9(月) ITmedia NEWS
神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、流出元の情報機器リユース業者ブロードリンク(東京都中央区)は12月9日、流出のいきさつと捜査の状況を記者会見で説明した。同社の独自調査によると、同社元従業員の高橋雄一容疑者は、2016年からHDDやUSBフラッシュメモリの他、スマートフォンやタブレットなどの情報機器を7844台転売していたという。
【画像】容疑者は7844個の情報機器を転売していた
記者会見には、ブロードリンクの榊彰一社長、村上崇副社長、深田洋専務取締役、江川正彦取締役、萩藤和明執行役員が登壇した。
神奈川県庁のHDDが流出したいきさつ
神奈川県庁は6日、同庁が行政文書などを保存していたHDDを処分する過程で個人情報が流出したとして謝罪した。
神奈川県庁では、情報機器レンタルを手掛ける富士通リース(東京都千代田区)からレンタルしていたファイルサーバのHDDを、メンテナンスのため2019年春に交換。神奈川県はHDD内のデータを削除したうえで富士通リースに返却した。その後、富士通リースは古いHDDの処分をブロードリンクに依頼した。
ブロードリンクはほとんどのHDDを物理的に破壊したものの、高橋容疑者は破壊前のHDDの一部を外部に持ち出し、ネットオークションの「ヤフオク!」で転売した。転売されたHDDは計18台、総容量は54TB。うち9台はすでに神奈川県庁が回収したが、残りの9台の行方は不明。現在、警察が捜査を進めている。
ブロードリンクは疑惑発覚後に社内調査を始めた。12月3日に高橋容疑者を問いただしたところ、転売の事実を認めたという。6日には高橋容疑者を懲戒解雇し、大森警察署に被害届を提出した。
転売総数は「7844個」 高橋容疑者の余罪
同社の調査によると、高橋容疑者は入社した2016年2月からHDDなどを外部に持ち出し、「ヤフオク!」やフリマアプリ「メルカリ」などで転売していたという。高橋容疑者が出品し、実際に落札された情報機器は計7844個。そのうち3904個はHDDやUSBフラッシュメモリなどの記憶媒体の他、スマートフォンやタブレットなど記憶領域を持つ情報機器だったという。
同社は榊彰一社長を中心に対策本部を立ち上げ、転売された情報機器について、もともと所有していた事業者の特定を急いでいるという。同社では、情報機器を物理破壊処理する際に証明として破壊前後の写真を撮影し、依頼主にオプションとして提出していた。高橋容疑者が在職時に取り扱った情報機器の写真に写ったシリアルナンバーなどから、依頼元を割り出す。
情報流出の可能性がある事業者の数はまだ調査中であり不明だとしているが、賠償が必要な場合は「警察と連携し、対処方法は依頼主の意思を尊重して考える」という。神奈川県庁以外の自治体や企業などの情報が流出している可能性は「0ではない」とした。
榊彰一社長は今後の捜査について、「全面協力し、顧客から預かったHDDがなぜ盗まれたのか、他にも問題がないか、業務プロセスを検証し、新たな業務体制を構築したい」と語った。
行動ログやカメラ映像は確認していなかった ずさんな管理体制
ブロードリンクでは、従業員が「データ消去室」でHDDなどのデータ消去を行っていたという。「データ消去室への入室には指紋認証が必要で、入退室時間も記録していた。しかし、記録のチェックは何か問題が起きたときのみで、日常的な確認作業は行っていなかった」(同社)。防犯カメラも設置していたが、これまでの確認作業では、高橋容疑者が情報機器を持ち出す場面は確認できなかったとしている。
同社では従業員がデータ消去室を退出する際に手荷物検査も不定期に行っていたという。しかし、かばんの中を見るだけの簡易的なもので、実施の記録などは一切とっておらず、同社幹部はこれまでに手荷物検査を実施した回数も把握していなかった。
データ消去が完了したことを報告する完了報告書の発行でも問題があった。神奈川県庁が使っていたHDDの処分に関して、ブロードリンクと富士通リースはデータ消去の完了時に完了報告書を提出する契約になっており、実際に同庁へ提出した。
完了報告書は、作業が終わったことを単純に報告するものであり、データの消去を証明するものではなかった。報告書には破壊後のHDDを写した証明写真などは添付されない。
完了報告書を提出したのにデータが消去されていなかったことについてブロードリンクは、「管理が甘く、HDDの破壊前と破壊後のチェックを行っていなかったことが原因だ」としている。
再発防止のため、今後はこれまではオプションとしていた証明写真の撮影を全てのサービスで提供する他、「データ消去室」の入退室を人の目で監視し、荷物検査や金属探知機による身体チェック、監視カメラの増設、セキュリティゲートの設置、従業員研修の強化を行うという。
榊彰一社長は「取引先には記者会見が終わり次第、1件1件回って謝罪し、再発防止に向けた説明を行い信頼回復に努める」とし、「全ての対策が済み次第、代表取締役を辞任する」と話した。
感想;
県の責任はあります。
県が契約したと思われる富士通の責任はどうなっているのでしょうか?
問題のある会社を管理するのが富士通の責任。
その富士通を管理するのが県ではないでしょうか?
ぜひ、関係者はハードディスクの処理については小渕優子議員と桜を見る会のPCデータを廃棄した両者の責任者を講師として迎え、学ばれるとよいのではと思ってしまいました。
神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、流出元の情報機器リユース業者ブロードリンク(東京都中央区)は12月9日、流出のいきさつと捜査の状況を記者会見で説明した。同社の独自調査によると、同社元従業員の高橋雄一容疑者は、2016年からHDDやUSBフラッシュメモリの他、スマートフォンやタブレットなどの情報機器を7844台転売していたという。
【画像】容疑者は7844個の情報機器を転売していた
記者会見には、ブロードリンクの榊彰一社長、村上崇副社長、深田洋専務取締役、江川正彦取締役、萩藤和明執行役員が登壇した。
神奈川県庁のHDDが流出したいきさつ
神奈川県庁は6日、同庁が行政文書などを保存していたHDDを処分する過程で個人情報が流出したとして謝罪した。
神奈川県庁では、情報機器レンタルを手掛ける富士通リース(東京都千代田区)からレンタルしていたファイルサーバのHDDを、メンテナンスのため2019年春に交換。神奈川県はHDD内のデータを削除したうえで富士通リースに返却した。その後、富士通リースは古いHDDの処分をブロードリンクに依頼した。
ブロードリンクはほとんどのHDDを物理的に破壊したものの、高橋容疑者は破壊前のHDDの一部を外部に持ち出し、ネットオークションの「ヤフオク!」で転売した。転売されたHDDは計18台、総容量は54TB。うち9台はすでに神奈川県庁が回収したが、残りの9台の行方は不明。現在、警察が捜査を進めている。
ブロードリンクは疑惑発覚後に社内調査を始めた。12月3日に高橋容疑者を問いただしたところ、転売の事実を認めたという。6日には高橋容疑者を懲戒解雇し、大森警察署に被害届を提出した。
転売総数は「7844個」 高橋容疑者の余罪
同社の調査によると、高橋容疑者は入社した2016年2月からHDDなどを外部に持ち出し、「ヤフオク!」やフリマアプリ「メルカリ」などで転売していたという。高橋容疑者が出品し、実際に落札された情報機器は計7844個。そのうち3904個はHDDやUSBフラッシュメモリなどの記憶媒体の他、スマートフォンやタブレットなど記憶領域を持つ情報機器だったという。
同社は榊彰一社長を中心に対策本部を立ち上げ、転売された情報機器について、もともと所有していた事業者の特定を急いでいるという。同社では、情報機器を物理破壊処理する際に証明として破壊前後の写真を撮影し、依頼主にオプションとして提出していた。高橋容疑者が在職時に取り扱った情報機器の写真に写ったシリアルナンバーなどから、依頼元を割り出す。
情報流出の可能性がある事業者の数はまだ調査中であり不明だとしているが、賠償が必要な場合は「警察と連携し、対処方法は依頼主の意思を尊重して考える」という。神奈川県庁以外の自治体や企業などの情報が流出している可能性は「0ではない」とした。
榊彰一社長は今後の捜査について、「全面協力し、顧客から預かったHDDがなぜ盗まれたのか、他にも問題がないか、業務プロセスを検証し、新たな業務体制を構築したい」と語った。
行動ログやカメラ映像は確認していなかった ずさんな管理体制
ブロードリンクでは、従業員が「データ消去室」でHDDなどのデータ消去を行っていたという。「データ消去室への入室には指紋認証が必要で、入退室時間も記録していた。しかし、記録のチェックは何か問題が起きたときのみで、日常的な確認作業は行っていなかった」(同社)。防犯カメラも設置していたが、これまでの確認作業では、高橋容疑者が情報機器を持ち出す場面は確認できなかったとしている。
同社では従業員がデータ消去室を退出する際に手荷物検査も不定期に行っていたという。しかし、かばんの中を見るだけの簡易的なもので、実施の記録などは一切とっておらず、同社幹部はこれまでに手荷物検査を実施した回数も把握していなかった。
データ消去が完了したことを報告する完了報告書の発行でも問題があった。神奈川県庁が使っていたHDDの処分に関して、ブロードリンクと富士通リースはデータ消去の完了時に完了報告書を提出する契約になっており、実際に同庁へ提出した。
完了報告書は、作業が終わったことを単純に報告するものであり、データの消去を証明するものではなかった。報告書には破壊後のHDDを写した証明写真などは添付されない。
完了報告書を提出したのにデータが消去されていなかったことについてブロードリンクは、「管理が甘く、HDDの破壊前と破壊後のチェックを行っていなかったことが原因だ」としている。
再発防止のため、今後はこれまではオプションとしていた証明写真の撮影を全てのサービスで提供する他、「データ消去室」の入退室を人の目で監視し、荷物検査や金属探知機による身体チェック、監視カメラの増設、セキュリティゲートの設置、従業員研修の強化を行うという。
榊彰一社長は「取引先には記者会見が終わり次第、1件1件回って謝罪し、再発防止に向けた説明を行い信頼回復に努める」とし、「全ての対策が済み次第、代表取締役を辞任する」と話した。
感想;
県の責任はあります。
県が契約したと思われる富士通の責任はどうなっているのでしょうか?
問題のある会社を管理するのが富士通の責任。
その富士通を管理するのが県ではないでしょうか?
ぜひ、関係者はハードディスクの処理については小渕優子議員と桜を見る会のPCデータを廃棄した両者の責任者を講師として迎え、学ばれるとよいのではと思ってしまいました。