先日、某市役所で処分されたハードディスクが横流しされ、購入した人がデータ復元して、横流しが発覚する事件が発生しました。
横流しした社員は、会社からハードディスクを盗み出して、売却していたということで逮捕されたようです。
その社員が所属した会社名になんだか聞き覚えがありましたので、気になっていました。
引越しの準備で整理している最中でしたが、たまたま昔の名刺帳が出てきたので、パラパラとめくったところ、やはりありました。
当時、所属した会社で取り引きしていました。
10年以上前、同社がちょうどPC引取り、リサイクル事業を始めた頃でした。
当時から、情報漏えいは重大な問題で、社員のPCを更新した際、古いPCの処分に苦慮していました。
そこに、同社が営業をかけてきて、利用することを検討しました。
当時、自社ではデータが保存されていたハードディスクはデータ削除後に、物理破壊をしていました。
たいした手間ではなかったですが、本流の仕事ではありません。できれば、避けたい仕事と考えていました。
そこに、同社のサービスです。
それまでは、産業廃棄物処理会社にお金を支払って処分していたものが、逆に買い取ってくれる・・・・、これはありがたかった。
買い取ったものをどうするのか訊くと、売れる性能ならば中古機として販売するそうで、そのためには付属のハードディスクが一緒でないとダメだそうで。
ハードディスク未搭載の場合は、ほぼ無料引取りとなります。
自分の所属は、社外から売り上げがある部門ではないため、売却で売り上げがあると社内処理が面倒になるらしく・・・
最終的にどうしたか覚えていませんが、ハードディスク搭載で売却する場合は、当時の最高レベルのデータ削除を行うことになりました。
そのデータ削除には1台あたり最短でも数時間を要します。その処理も同社のサービスメニューにありましたが、情報漏えい防止の最後の砦なので、任せないことにしました。
削除処理を始動したら放置して、時間があるときに完了しているものを未完のものと交換して、また始動して放置を繰り返して・・・
ということは、ハードディスク搭載のまま、処理の依頼をしたんだろうなー。^^
翻って、今回の事件。全体的にみると、やはり絶対に漏えいしてはいけないデータのハードディスクは自社、自部署での物理破壊に限るということでしょうね。
どんなに、そのサービスの信頼性を高めても、悪意のある人間が居れば避けられないと思います。犯人を捕まえて罰することはできても、漏えいしたデータを漏えいしなかったことにはできません。
当時、当該会社の社長や取締役等とも名刺交換していました。
幹部に比べて、社長が若かった印象を思い出しました。
HPを見てみたら、名刺交換した役員らは社長以外残っていませんでしたが、逆に社長は替わっておらず、著しい業務拡大を果たしていました。
若い社長の下、頑張ってきて成長を果たした反面、社員数も増えて、おかしな社員がでてきてしまったのでしょうね。
不謹慎ながら、なんだか懐かしく思った事件でした。
横流しした社員は、会社からハードディスクを盗み出して、売却していたということで逮捕されたようです。
その社員が所属した会社名になんだか聞き覚えがありましたので、気になっていました。
引越しの準備で整理している最中でしたが、たまたま昔の名刺帳が出てきたので、パラパラとめくったところ、やはりありました。
当時、所属した会社で取り引きしていました。
10年以上前、同社がちょうどPC引取り、リサイクル事業を始めた頃でした。
当時から、情報漏えいは重大な問題で、社員のPCを更新した際、古いPCの処分に苦慮していました。
そこに、同社が営業をかけてきて、利用することを検討しました。
当時、自社ではデータが保存されていたハードディスクはデータ削除後に、物理破壊をしていました。
たいした手間ではなかったですが、本流の仕事ではありません。できれば、避けたい仕事と考えていました。
そこに、同社のサービスです。
それまでは、産業廃棄物処理会社にお金を支払って処分していたものが、逆に買い取ってくれる・・・・、これはありがたかった。
買い取ったものをどうするのか訊くと、売れる性能ならば中古機として販売するそうで、そのためには付属のハードディスクが一緒でないとダメだそうで。
ハードディスク未搭載の場合は、ほぼ無料引取りとなります。
自分の所属は、社外から売り上げがある部門ではないため、売却で売り上げがあると社内処理が面倒になるらしく・・・
最終的にどうしたか覚えていませんが、ハードディスク搭載で売却する場合は、当時の最高レベルのデータ削除を行うことになりました。
そのデータ削除には1台あたり最短でも数時間を要します。その処理も同社のサービスメニューにありましたが、情報漏えい防止の最後の砦なので、任せないことにしました。
削除処理を始動したら放置して、時間があるときに完了しているものを未完のものと交換して、また始動して放置を繰り返して・・・
ということは、ハードディスク搭載のまま、処理の依頼をしたんだろうなー。^^
翻って、今回の事件。全体的にみると、やはり絶対に漏えいしてはいけないデータのハードディスクは自社、自部署での物理破壊に限るということでしょうね。
どんなに、そのサービスの信頼性を高めても、悪意のある人間が居れば避けられないと思います。犯人を捕まえて罰することはできても、漏えいしたデータを漏えいしなかったことにはできません。
当時、当該会社の社長や取締役等とも名刺交換していました。
幹部に比べて、社長が若かった印象を思い出しました。
HPを見てみたら、名刺交換した役員らは社長以外残っていませんでしたが、逆に社長は替わっておらず、著しい業務拡大を果たしていました。
若い社長の下、頑張ってきて成長を果たした反面、社員数も増えて、おかしな社員がでてきてしまったのでしょうね。
不謹慎ながら、なんだか懐かしく思った事件でした。
ハードディスクの根本的な削除は、そのものを物理的に破壊するしかないと聞きました。
水没でもダメなのかな?
どうしても流出されたくなければ、とほさんが書いているように自分でやるしかないでしょうね。
疑えばキリがなく、色々な事で信用できない世の中になったなぁと思います。
報道によると、物理破壊担当者がこっそり持ち帰っていたようで。
破壊したあと、産業廃棄物するときに管理IDまたはシリアルナンバなどを照合する手続きが欠けていたみたい。
水没は微妙です。
読取端子とディスクの隙間は、たばこの煙の粒子より狭いので、内部に入りこまないように隙間は小さいと思います。
水没中の時間にもよるだろうけど、内部に水が入り込むかは不明です。
自分でやるのが一番ですが、今回はリース物なので、市役所では破壊できず、リース会社が破壊を当該会社に依頼したみたいで。
リース会社は、自社のデータではないから、甘くなったのでしょうね。
リース会社の破壊業者選定担当者や当該会社の認証審査会社なんかも、それぞれの立場で責任を問われそう。
>疑えばキリがなく、色々な事で信用できない世の中になったなぁと思います。
故意もあればミスもある。でも被害は同じ。
そこは、リスク管理を駆使して、予防・軽減・移転・容認のいずれかを選択しながら、綱渡りしていくしかないのでしょうね。