──
原因
原因は、階層別に分けて考えることができる。
(1) ブロードリンク社
直接の原因は、データ消去を担当するブロードリンク社にある。この会社の状況がブラックそのものだ。
→ 「世界最悪級の流出」ブロードリンク社の2chスレを見ると事件は起こるべくして起こったことがわかる
あまりにも低賃金・長時間労働で労働者を酷使している。業務もメチャクチャだ。これでは社員が横流ししたくなる動機が発生する。
また、管理もひどい。正社員でなく派遣社員がいい加減な仕事をしているし、HDD などの個体管理もしていない。いくつ行方不明になっているかもわからない状況だ。廃棄物の横流しも横行していたらしい。
実際、流出したのは、今回の HDD の 18台だけではない。他にも 5000件以上の売却があった。
高橋容疑者の出品履歴を確認したところ、07年以降の総数は少なくとも5200件に上った。16年以降の出品数は約4700件で、落札総額は1200万円を超えていた。
( → 容疑者のHDD出品、入社後急増 落札総額1200万円:朝日新聞 )
個別の一覧(5000件以上)は、下記にある。
→ ヤフオクの履歴
これほどの大量の売却があったわけだが、もちろん、個人で提供したわけではないから、そのすべては職場から盗んだものであったはずだ。
要するに、この犯人の分だけでも、5000件以上の流出があった。それだけ、ずさんな管理があったことになる。
調べに対し、「簡単にできるから、毎日のように盗み出していた」と供述していることが、捜査関係者への取材でわかった。
( → HDD「簡単で毎日のように盗んだ」容疑者、早朝狙いか:朝日新聞 )
(2) 富士通リース
ブロードリンク社に委託したのは、富士通リースだ。この会社に最大の責任があると言えるだろう。
本来ならば、業務を委託するからには、委託先がどんな仕事をしているか、チェックするべきだった。チェックすれば、上記の (1) のような事情が簡単に判明していたはずだ。それを怠ったのだから、富士通リースの責任は甚大であると言わざるを得ない。
チェックするだけの能力もあったのに、あえてチェックしなかった。目先の利益だけを追って、激安業者に委託した。その金額ではまともな業務ができるはずがないとわかっていながら、安さに惹かれて、ブラック企業に委託した。……この点で、富士通リースの責任は最大級に大きい。
本来ならば、神奈川県に億円単位の違約金を払うべきだろう。
( ※ その上で、その金をブロードリンク社に請求してもいいが、ブロードリンク社が払えるはずもないのだから、ブロードリンク社の倒産にとなって、億円単位の違約金をかぶるのは、富士通リースであるべきだ。)
※ 富士通リースは、富士通の子会社ではない。富士通の製品を使っているだけで、富士通とは直接、強い関係があるわけではないようだ。
→ 富士通リース株式会社との関係について : 富士通
(3) 神奈川県
神奈川県の責任も大きい。特に問題なのは、「流出時の違約金」という対策を取っていなかったことだ。このことで、流出を未然に防ぐ体制ができなかった。( → 前項 )
実は、「違約金」という方式以外にも、自力で「流出防止」の態勢を取っている自治体もある。
横浜市では、……市がHDDを買い取る場合もあり、その際は市販のソフトウェアでデータを消去したり、HDDに穴を開けて破壊したりする作業を、市職員が行うこともあるとしている。
川崎市は、各部局の行政文書などを蓄積する共有ファイルサーバーに使われているHDDについて、消去作業を庁内で行っている。業者がデータ消去やダミーデータなどの上書きをするが、市で専門知識を持つ職員が作業に立ち会い、復元ができないことを確認している。
住民基本台帳など、より機密性の高いホストコンピューターの端末で使われているHDDについては、消去作業でデータがなくなったことを確認した上で、物理的にハードディスクを破壊し、写真を報告書に添付する。
横須賀市は、完全な消去が終わるまでHDDを庁舎から持ち出さない対策を取り、使用済みHDDの外部流出を避けようと、リース期間終了後は機器を市に無償譲渡する契約を業者と結ぶ。多数を廃棄時は委託業者に庁舎まで来てもらい、市職員も立ち会ってデータを消去。HDDは市の責任で廃棄する。HDDのデータを完全に消して使えなくする装置もあり、台数が少ない場合はこの装置を使って処理している。
大和市はリース業者から、物理的に破壊した証明書と破壊前後の写真の提出を受けている。
海老名市は、サーバーとパソコンの半分以上を県と同じ富士通リースから借りており、返却後の処分もブロードリンクが担う。サーバーは返却前に専用の機械で職員が記録装置を物理的に破壊。パソコンは専用のデータ抹消ソフトで完全に消去を確認してから返却している。
( → 情報流出の内容、県から回答なし 「対策取りようない」:朝日新聞 )
いずれも、まともな対策を取っている。それに比べると、神奈川県はまったく駄目だ、とわかる。
ま、小さな自治体だと、規模も小さいので、HDD の全数破壊を職員が確認するのも、たいした手間ではないのかもしれない。一方、神奈川県ぐらいのレベルだと、大量の HDD の廃棄を職員がいちいちチェックするのは大変そうだ。だからやらなかった、とも思える。しかしそれならそれで、違約金の形で、富士通リースに対処を要求するべきだった。( → 前項 )
何もしなかった神奈川県の責任は、きわめて大きい、と言えるだろう。(県知事のせいかもね。)
対策
対策は、どうするか? いろいろと考えられる。
(A)違約金
流出時には高額の違約金を取ることで、委託先(今回は富士通リース)に、重大な責任を負わせる。( → 前項 )
(B)自己チェック
自治体が自分でチェックしたり、自分で HDD 破壊したりする。実際、上記の自治体では、そういうことがなされている。
これは、政府の推奨する方式だが、規模が大きくなると、処理が困難となる。国や県レベルでは、(A)の方が現実的だ。
(C)高額買い取り
流出機器の「高額買い取り」を、事前に宣伝しておくといい。これはトラップ(罠)だ。
今回の犯人のような悪党が、「高額買い取り」をする誰かに持ち込んだら、それで流出の事例が判明する。今回の事例で言えば、
「神奈川県 → 富士通リース → ブロードリンク社」
という経路が判明する。( HDD の個体番号を見れば、すぐにわかる。)
こうして、駄目な会社がすぐに判明する。
※ 魚の「釣り」みたいなものである。餌を流しておいて、魚が食らいついたところで、釣り上げる。
※ すべての廃棄 PC や部品を対象とするわけには行かないので、流出元が政府・自治体である場合に限る。部品も HDD と SSD に限る。これなら、流出自体が全部駄目だから、トラップの効果が出る。(引っかかるのは、馬鹿な犯人だけだが。)
(D)暗号化
仮に流出しても大丈夫なように、HDD のデータは暗号化しておくべきだろう。
そもそも、顧客名簿のような個人データは、「暗号化」をするべきだ、というふうに政府が強く推奨している。(義務づけに近いかも。)
→ 「改正個人情報保護法」から見るデータ暗号化の必要性と情報漏洩対策
→ 改正個人情報保護法への対策に必要なセキュリティ強化とは?
こういう状況があるからには、「暗号化」はやっていて当然なのだ。
特に、Amazon のクラウドを使えば、自動的に「暗号化」をやってくれる。
→ Amazon のクラウド 暗号化 - Google 検索
※ なお、シンクライアントのクラウドなら、そもそもローカルにはデータはない。
※ 暗号化については、下記サイトもある。
→ データベース暗号化が必要な「理由」と「3大方式」を理解する
→ 「個人情報の高度な暗号化について考える」
──
ともあれ、上記のように、いろいろと対策は考えられるわけだ。上記以外にも、別途、まだ対策の仕方はありそうだ。
https://www.atmarkit.co.jp/ait/articles/0807/18/news154.html
捨てるときには、個人的にもやっておいたほうがいい
取り外しができたあとなら、トンカチと釘を使えば、1秒で済みます。場合によっては(力があれば)、トンカチで強く一撃するだけでも済む。2階から地面に落とすだけでも済む。(地面は硬い石かコンクリであることが必要。)
ただし、取り外しができない人だと、ソフトで消去するしかない。インストールも含めると、かなりの手間がかかるが。
※ CD-ROM に書き込んで、autorun.inf で自動実行する、という手もある。
ドリルと消去:
https://www.asahi.com/articles/DA3S14287959.html
上書きで完全消去は困難:
https://www.asahi.com/articles/ASMD65W44MD6UTIL062.html
社長は辞任の意向:
https://www.asahi.com/articles/ASMD94J8ZMD9UTIL01W.html
https://www.asahi.com/articles/ASMDC52K9MDCUTIL01J.html
富士通リースと神奈川県の責任を、今になって追及している。本項(12月08日)を読んでいれば、12月09日には調査して掲載できた話なのに。遅いね。
※ ブロードリンク社だけが悪い、と思っている人が大多数であるせいかな。