神奈川県の行政データが入ったハードディスクドライブ(HDD)の転売事件は、なかなか興味深いですね。
事件発覚の発端は、ネットオークションでそのHDDを購入した方が、データ流出に気づいたことでした。
・購入したHDD内に削除されていないファイルがあったので、データを読み出してみた
・詳細に確認するため、データ復元ソフトを購入して復元してみた
・さらに確認するため、同じ出品者の他のHDDも落札して入手した
・合計9個のHDDでファイルを復元して、情報流出を確認した
・朝日新聞に連絡した
この方の好奇心と正義感の成せるわざなんでしょうけど、その徹底した調査には恐れ入ります。
おかげで、廃棄したはずのHDDから重要な情報が流出していたことが明らかになりました。
しかもそれが、HDD廃棄業者の内部犯行だったという点は、あまりに重大です。
今回は、HDDを転売して儲けようというのが動機であって、情報流出が目的ではなかったようです。
しかし、情報売買のためにHDDが転売されてもおかしくないことが今回露呈したわけで、重大問題です。
官公庁や企業がどれほどセキュリティ対策をしても、内部犯行を防ぐのはなかなか難しいものです。
数年前に起きたベネッセの情報漏洩事件は、まさにそのセキュリティ担当者の犯行でした。
今後は、情報担当者を厳しく管理する態勢が必要で、その管理者もまた誰かが見張っておかねばなりません。
そもそも、神奈川県がHDDをリース業者に返還する前に行ったHDDの初期化作業が、まったく不十分でした。
当院ですら、かつてリースPCを返還した際には、時間のかかる「7回消去法」を実施したというのに。
より確実な情報消去を求めるなら、業者に引き渡す前に、HDDを物理的に破壊しておくべきでしょうね。
ドリルで穴を開け、塩水に一晩浸してから、ハンマーでたたき壊すとか、なんか手があるでしょうに。
目次
コメント