拙人が12/7に転載(下記リンク)した、神奈川県庁のリースアップHDDで大量の個人情報が流出した犯罪の件ですが、今日見る記事で案の定、元受け(富士通リース)は下請け(ブロードリンク)へ丸投げして、何ら管理していなかったということが裏付けられた。しかも、神奈川県庁は富士通リースにたった3ヶ月の指名停止しているだけだという。
神奈川県庁は、元受け富士通リースに対し、管理不十分だとして告訴すべき案件であり、会わせて民事賠償により相当額の賠償を求めなければならない案件だろう。なお、今後の入札は、訴訟結果が決定するまで当面見合わせるというのが筋だと思うのだが・・・。
なお、富士通リースのWebサイトには8行くらいの短い文章で自らやるべき管理不十分を行っていなかったことの反省もない文章を記載している。また、同サイトの情報セキュリティという表題のページには、たいそう立派なことが記してあるが、「何ら守られちゃいないじゃないか!」と思わずにいられない。
いやはや呆れたセキュリティ意識だ・・・ 2019-12-07
https://blog.goo.ne.jp/wiseman410/e/93b4edf36bea697c03de3be2aedeb8c0
------------------------------------------------------
富士通リース、HDD処理を丸投げ データ消去確認せず
12/11(水) 22:18配信朝日新聞デジタル
大量の個人情報を含む神奈川県庁のハードディスク(HDD)が外部に流出した問題で、県が使用を終えたHDDについて、リース元の富士通リースがデータ消去を自ら確認せず売却していたことが分かった。同社は売却先のブロードリンクに、県庁からの搬出や処分など処理を「丸投げ」していた。県が富士通リースとブロードリンクをそれぞれ3カ月の指名停止としていたことも分かった。
「リース物件はそもそも富士通リースから借り受けたもの。データが完全消去されるのであれば、どう処理しようがものを言える立場ではない」。神奈川県の幹部は、重要なデータの消去を誰が実際に担っているのか確かめられない現状をこう受け止める。
富士通リースとブロードリンクの売買契約は、HDDが動作すればデータを専用ソフトで消去し、動かなければ物理的に破壊する、という内容だった。
ところが県は、富士通リースがブロードリンクとの間で売買契約を結んでいることを知らなかった。11月下旬、朝日新聞の指摘で流出の可能性を把握。ここで初めて、HDDの処分方法を富士通リースに確認した。
国や自治体はガイドラインで、個人情報が入った記憶媒体の処理について「復元できない状態にする」と定めている。神奈川県が富士通リースと結んだリース契約によれば、使用後のHDDについて「(富士通リース側が)データ復旧が不可能とされる方法で消去作業を行う」としていた。
だが実際に引き取りに訪れたのは、富士通リースからHDDを買い取る契約を結んでいたブロードリンクだった。
データが完全に消去されないままHDDが転売されたことに、県幹部は動揺を隠せなかった。「富士通リースとの契約を見直さないといけない」「やりました、という報告書を全面的に信じられない」
リース契約には、データが完全に消去されたことを示す証明書を県に提出する内容も含まれていたが、富士通リースは証明書の発行をブロードリンクに依頼し忘れていた。その結果、引き渡しから7カ月以上たっても県は証明書を入手できておらず、結果として流出を把握できなかった。
問題の発覚後、神奈川県やブロードリンクはトップが記者会見をしたが、富士通リースは詳細な説明をしていない。富士通リースは11日夕、朝日新聞の取材に文書で回答し、HDDのデータ消去や廃棄については、売却先のブロードリンクが責任を持って処理することになっているとした。(座小田英史、荒ちひろ)
朝日新聞社
------------------------------------------------------
神奈川県庁は、元受け富士通リースに対し、管理不十分だとして告訴すべき案件であり、会わせて民事賠償により相当額の賠償を求めなければならない案件だろう。なお、今後の入札は、訴訟結果が決定するまで当面見合わせるというのが筋だと思うのだが・・・。
なお、富士通リースのWebサイトには8行くらいの短い文章で自らやるべき管理不十分を行っていなかったことの反省もない文章を記載している。また、同サイトの情報セキュリティという表題のページには、たいそう立派なことが記してあるが、「何ら守られちゃいないじゃないか!」と思わずにいられない。
いやはや呆れたセキュリティ意識だ・・・ 2019-12-07
https://blog.goo.ne.jp/wiseman410/e/93b4edf36bea697c03de3be2aedeb8c0
------------------------------------------------------
富士通リース、HDD処理を丸投げ データ消去確認せず
12/11(水) 22:18配信朝日新聞デジタル
大量の個人情報を含む神奈川県庁のハードディスク(HDD)が外部に流出した問題で、県が使用を終えたHDDについて、リース元の富士通リースがデータ消去を自ら確認せず売却していたことが分かった。同社は売却先のブロードリンクに、県庁からの搬出や処分など処理を「丸投げ」していた。県が富士通リースとブロードリンクをそれぞれ3カ月の指名停止としていたことも分かった。
「リース物件はそもそも富士通リースから借り受けたもの。データが完全消去されるのであれば、どう処理しようがものを言える立場ではない」。神奈川県の幹部は、重要なデータの消去を誰が実際に担っているのか確かめられない現状をこう受け止める。
富士通リースとブロードリンクの売買契約は、HDDが動作すればデータを専用ソフトで消去し、動かなければ物理的に破壊する、という内容だった。
ところが県は、富士通リースがブロードリンクとの間で売買契約を結んでいることを知らなかった。11月下旬、朝日新聞の指摘で流出の可能性を把握。ここで初めて、HDDの処分方法を富士通リースに確認した。
国や自治体はガイドラインで、個人情報が入った記憶媒体の処理について「復元できない状態にする」と定めている。神奈川県が富士通リースと結んだリース契約によれば、使用後のHDDについて「(富士通リース側が)データ復旧が不可能とされる方法で消去作業を行う」としていた。
だが実際に引き取りに訪れたのは、富士通リースからHDDを買い取る契約を結んでいたブロードリンクだった。
データが完全に消去されないままHDDが転売されたことに、県幹部は動揺を隠せなかった。「富士通リースとの契約を見直さないといけない」「やりました、という報告書を全面的に信じられない」
リース契約には、データが完全に消去されたことを示す証明書を県に提出する内容も含まれていたが、富士通リースは証明書の発行をブロードリンクに依頼し忘れていた。その結果、引き渡しから7カ月以上たっても県は証明書を入手できておらず、結果として流出を把握できなかった。
問題の発覚後、神奈川県やブロードリンクはトップが記者会見をしたが、富士通リースは詳細な説明をしていない。富士通リースは11日夕、朝日新聞の取材に文書で回答し、HDDのデータ消去や廃棄については、売却先のブロードリンクが責任を持って処理することになっているとした。(座小田英史、荒ちひろ)
朝日新聞社
------------------------------------------------------
