- トップページ
- イマイのコラム 2019
- 神奈川県庁のデータ流出事件について
神奈川県庁のデータ流出事件について
2019/12/12
神奈川県庁の個人データが入ったハードディスクがオークションで転売された事件について、注目しています。いろんな時点における、いろんな問題が明らかになっています。
まず、県庁のデータ保存の方法に問題があったようです。税金の滞納状況などのマル秘文書が暗号化されないまま保存されていました。本来ならば、「誰がいつアクセスして」「誰がいつ変更したか」のログを保存すると共に、万が一サーバーから流出してもデータが見えないように暗号化されている必要があります。また、サーバーを廃棄するときに、そのデータが確実に廃棄されたかどうかの検証を行っていませんでした。業者を信頼していたのでしょうが、それがアダとなってしまいました。
当事務所においても専用サーバーを入れ替える時、機械本体はメーカーであるJDLの工場でリサイクルされるのでしょうが、ハードディスクだけは当事務所での廃棄となります。物理的に壊すようにアドバイスを受けたため電動ドリルで穴を空けるのですが、これが結構大変な作業です…。パッと見た目は単なる鉄の箱ですので、「ドリルだったら穴が空くだろう」とチャレンジするものの…なかなか手強いものでした。金属加工の工場にあるような穴開けの機械であれば簡単だろうと思われますが、手持ちの電動ドリルでは最初の穴が空くまでにドリルが滑ったり歯がたたなかったり…七転八倒でした。
そうなると、ソフトウェアによるデータの消去が簡単な方法となります。ハードディスクの初期化だけでは簡単にデータ復元できてしまうので、専用ソフト(といってもフリーソフトですが)でランダムにイチとゼロを書き込んで、すべてのデータ領域を意味のないデータで埋め尽くします。設定によっては、それを三回繰り返します。ソフトが自動でやってくれるものの、ディスクの容量が大きければ大きいほど時間がかかります。そうすれば、データは復元できないものと思っていました。しかし、12月9日の朝日新聞夕刊の報道では、データ復元の達人の手にかかればこのような状態にしたハードディスクからでも消しきれなかったデータを復元させることが可能とのこと…やっぱり物理的な破壊が一番のようです。
今回の事件で、一番悪いのは犯人であることは間違いありません。しかしながら、その犯行を許してしまった経営者の責任も非常に重いと思います。まず、お客様から預かったハードディスクの管理がされていません。モノとしての価値より、その内容の価値が大切であることは火を見るよりも明らかです。データの流出を恐れるお客様がプロに委託しているのですが、プロがその仕事をしていないことになります。すべてのハードディスクにIDを振って、いつ誰が消去、又は破壊したかが記録され、検証が可能な状態にしていなければいけません。持ち出しに関しては注意をしていたようですが、早朝という抜け道を犯人は利用してしまいました。
私は、この経営者に言いたいです。一つは、お客様の信用をあっという間に失ってしまったこと。もう一つは、管理が不十分だったため、自分の会社の従業員を犯罪者にしてしまったこと。犯人の従業員も悪いのですが、従業員を犯罪者にしてしまった経営者の責任は重いです。出来心というのは誰にでも生ずるモノだと思いますので、今回の件も管理が十分であれば出来心が生じても犯罪にはならなかったはずです。
今回の事件の教訓として、「すべての事業所は従業員を犯罪者にさせない方策が必要である」ということだと私は思います。
まず、県庁のデータ保存の方法に問題があったようです。税金の滞納状況などのマル秘文書が暗号化されないまま保存されていました。本来ならば、「誰がいつアクセスして」「誰がいつ変更したか」のログを保存すると共に、万が一サーバーから流出してもデータが見えないように暗号化されている必要があります。また、サーバーを廃棄するときに、そのデータが確実に廃棄されたかどうかの検証を行っていませんでした。業者を信頼していたのでしょうが、それがアダとなってしまいました。
当事務所においても専用サーバーを入れ替える時、機械本体はメーカーであるJDLの工場でリサイクルされるのでしょうが、ハードディスクだけは当事務所での廃棄となります。物理的に壊すようにアドバイスを受けたため電動ドリルで穴を空けるのですが、これが結構大変な作業です…。パッと見た目は単なる鉄の箱ですので、「ドリルだったら穴が空くだろう」とチャレンジするものの…なかなか手強いものでした。金属加工の工場にあるような穴開けの機械であれば簡単だろうと思われますが、手持ちの電動ドリルでは最初の穴が空くまでにドリルが滑ったり歯がたたなかったり…七転八倒でした。
そうなると、ソフトウェアによるデータの消去が簡単な方法となります。ハードディスクの初期化だけでは簡単にデータ復元できてしまうので、専用ソフト(といってもフリーソフトですが)でランダムにイチとゼロを書き込んで、すべてのデータ領域を意味のないデータで埋め尽くします。設定によっては、それを三回繰り返します。ソフトが自動でやってくれるものの、ディスクの容量が大きければ大きいほど時間がかかります。そうすれば、データは復元できないものと思っていました。しかし、12月9日の朝日新聞夕刊の報道では、データ復元の達人の手にかかればこのような状態にしたハードディスクからでも消しきれなかったデータを復元させることが可能とのこと…やっぱり物理的な破壊が一番のようです。
今回の事件で、一番悪いのは犯人であることは間違いありません。しかしながら、その犯行を許してしまった経営者の責任も非常に重いと思います。まず、お客様から預かったハードディスクの管理がされていません。モノとしての価値より、その内容の価値が大切であることは火を見るよりも明らかです。データの流出を恐れるお客様がプロに委託しているのですが、プロがその仕事をしていないことになります。すべてのハードディスクにIDを振って、いつ誰が消去、又は破壊したかが記録され、検証が可能な状態にしていなければいけません。持ち出しに関しては注意をしていたようですが、早朝という抜け道を犯人は利用してしまいました。
私は、この経営者に言いたいです。一つは、お客様の信用をあっという間に失ってしまったこと。もう一つは、管理が不十分だったため、自分の会社の従業員を犯罪者にしてしまったこと。犯人の従業員も悪いのですが、従業員を犯罪者にしてしまった経営者の責任は重いです。出来心というのは誰にでも生ずるモノだと思いますので、今回の件も管理が十分であれば出来心が生じても犯罪にはならなかったはずです。
今回の事件の教訓として、「すべての事業所は従業員を犯罪者にさせない方策が必要である」ということだと私は思います。
