ワイドショー

ブロードリンク過去最悪の情報流出!個人が確実にデータを処分する方法とは?

警視庁は12月6日、データ消去を委託された情報機器再利用会社ブロードリンクの社員の高橋雄一容疑者を窃盗の疑いで逮捕しました。

世界的に見ても過去最悪の情報流出と言われています。

情報社会の中、今や無くてはならないと言っていいほど、生活の中に入り込んでいるデータを確実に処分する方法を調べました。

HDD転売の発覚経緯は?

逮捕された高橋雄一容疑者は、「平成28年3月ごろから盗みを始め、 簡単だったので毎日のように盗んだ 捕まるまで、やめられなかった。」と供述しています。

高橋容疑者は、ケーブル、イヤホンなど計7844個をネットオークションや フリーマーケットアプリに出品、落札されていました。

盗んだ記憶媒体数は、3904個の内訳はHDD1286個、HDDより高機能なソリッド・ステート・ドライブ(SSD)1224個、USBメモリー742個、SDカード類558個、スマートフォンやタブレット端末計94個。

盗んだHDDについては、「中に何が入っているか知らなかった。」と警察で説明しています。

高橋容疑者は、データ消去を担当する技術職 で、ブロードリンクのデータ消去室は、IDカードや指紋認証で入退室を管理されていました。

高橋容疑者の勤務は午前9時~午後6時の日勤と、午後9時~翌日午前6時の夜勤の2通りで、 社内に人が少ない時間帯を狙って犯行を繰り返していたようです。

動機について「ネットオークションで売却する目的だった」と供述しています。

「高橋容疑者が不正に持ち出した県庁のHDDは、1個3テラバイトで、大手のオークションサイトで“3個1万円”といった形で複数人に転売していたようです。リスクを冒して実入りは10万円に満たない計算ですが、高橋容疑者は毎日のように持ち出しては転売し、チリツモで1000万円以上稼いでいたという報道もある」

日刊ゲンダイ

高橋容疑者が 県のサーバーから外されたハードディスク(HDD)をデータ消去しないまま ネットオークションを通じて転売しました。

HDDを、落札したIT企業経営者が 復元ソフトを使うと、大量の公文書ファイルが保存されており、朝日に情報提供したといいます。

神奈川県は、落札者側から連絡があり、9個を回収したが、残り9個は未回収で 最大3人に落札された可能性があり、県は落札者の特定を急いでいます。

落札者の善意で回収することができたましたが、 中には自動車税申告書などの個人情報が残っていたようです。

一方ブロードリンクは、外部からのタレコミがあり、高橋容疑者の私物用ロッカーを抜き打ち検査したところ、県庁とは別のHDDが複数個見つかり、 6日付で懲戒解雇にしました。

情報の管理体制は?

高橋容疑者は、会社から 同社施設の消去室に保管されていたHDD12個(2万4千円相当) ハードディスク12台を盗んだ疑いで逮捕されましたが、その他にも余罪があるとされています。

神奈川県の行政データを保存したハードディスクドライブ(HDD)が流出、 防衛装備庁は6日、海上自衛隊が平成30年度にノートパソコン412台と液晶モニター50台を売り払う契約を同社と結び、計約44万円の支払いを受けたと明らかにした。担当者は「引き渡す前に物理的に破壊しており、情報流出の可能性はない」としているが、他にも同社と契約がなかったかどうか調べている。

産経新聞

9日、 ブロードリンク は、問題発覚後初めて会見を開きました。

ブロードリンクは、入退室時の身体検査や手荷物検査を開始し、今後は不審物所持の有無をチェックするセキュリティーゲートを設置する方針です。

大切なデータを取り扱う企業の、それまでの管理体制はどうなっていたのでしょう?

今回の神奈川県の例

  • サーバーは富士通リース横浜支店から借り受けた
  • 今年2月末にリース期限
  • 県がリース会社にHDDを返却
  • 県はデータ消去完了を確認しない
  • 県にデータ消去証明書504個の証明書を提出してもらえなかった
  • 12個がどこから廃棄を依頼されたかは分かっていない
  • リース会社から情報機器会社ブロードリンクに委託されていたことを県の担当者は把握していなかった
  • 県担当者は、ブロードリンクの名前を知らない
  • 富士通リースはデータ消去完了証明と物理破壊証明をブロードリンクから受け取る契約をしていない
  • 黒岩知事は データ消去の履行確認が不十分で、 体制に甘さがあった
  • 9個を回収したが、残り9個は未回収
  • 自動車税申告書などの個人情報流出
  • 県は物理的に破壊して消去するよう富士通リースとの契約内容を見直したい

あまりに杜撰な管理体制と言えるでしょう。

テレビ番組で高橋真麻さんが、テレビ局に勤めていた時は、データ消してくれる機械が地下にあり、最後まで見届けることが仕事の1つだったと話していました。

フジは、情報管理がしっかりできているテレビ局のようです。

情報機器再利用会社を利用する場合に、相手任せでは駄目ということが、今回の過去最悪の情報流出でよくわかりました。

今回の神奈川県の問題は、リースだったことも1つの大きな問題です。

どこの県もそうなのでしょうか?

リースでも、破壊に立ち会い確認ができていれば起きなかった問題です。

出回った物が回収できたからOKでは、済む問題ではありません。

情報を扱う担当者の意識改革が必要です。

ブロードリンクはどんな会社?

ブロードリンクは中古パソコン買い取りや販売などを主な事業としています。

ブロードリンクのホームページには、取引先として大手IT企業や銀行、電力会社、最高裁判所や防衛省、官公庁・地方自治体と記載されています。

防衛省は情報流出が認められた2016年度以降、「ブロードリンク社」と11件、合計580万円相当の契約がありました。

 「現状の管理態勢を踏まえると、防衛省の取引先としてふさわしくないので、 来年9月8日までの9か月の指名停止にした」(河野太郎 防衛相)

銀行や裁判所、省庁など、情報機器再利用会社を利用している機関や会社は、早急に見直しと、管理体制の強化をしてほしいですね。

榊彰一社長を中心に対策本部を立ち上げ、転売された情報機器について、もともと所有していた事業者の特定を急いでいるという。同社では、情報機器を物理破壊処理する際に証明として破壊前後の写真を撮影し、依頼主にオプションとして提出していた。高橋容疑者が在職時に取り扱った情報機器の写真に写ったシリアルナンバーなどから、依頼元を割り出す。情報流出の可能性がある事業者の数はまだ調査中であり不明だとしているが、賠償が必要な場合は「警察と連携し、対処方法は依頼主の意思を尊重して考える」という。神奈川県庁以外の自治体や企業などの情報が流出している可能性は「0ではない」とした。榊彰一社長は今後の捜査について、「全面協力し、顧客から預かったHDDがなぜ盗まれたのか、他にも問題がないか、業務プロセスを検証し、新たな業務体制を構築したい」と語った。

ITmedia NEWS

個人が確実にデータを消す方法とは?

パソコンやハードディスクは、データ消去だけでは不完全です。

一般には 消去ソフトを使うよりも、電気ドリルで壊す方が確実です。

家電屋さんでは、目の前で破壊してくれるお店もあります。

まとめ

今回の情報機器再利用会社で起きた問題は、これから膨大なデータの照合からのようです。その間にも、回収できない情報がだだ漏れになっているということです。

ブロードリンクの今後の迅速な動きを期待します。

今の情報社会では、国を上げて個人情報の取り扱いを考えなくてはいけない問題です。

最後までご購読ありがとうございました。