神奈川県の行政文書を保存したハードディスクドライブ(HDD)がインターネットオークションで転売された問題で、HDDの処理を担当した廃棄業者ブロードリンク(東京・中央)が12月9日に会見を開いた。
同社の調査で、他のHDDにも転売の恐れがあることが判明した。榊彰一社長は「流出した原因は管理体制にあった」とし、原因究明や再発防止が完了した時点で辞任する考えを示した。「前代未聞」ともいわれるHDD転売はなぜ見過ごされたのか。会見で注目された3点を解説する。
神奈川県の行政文書を保存したハードディスクが転売された問題で謝罪するブロードリンクの榊彰一社長ら
まず経緯を整理しよう。発端は11月26日、神奈川県に「県の情報と思われる電子データが入っているので確認してほしい」との情報提供があった。情報提供元の男性は、オークションサイトの「ヤフーオークション」で落札した9本のHDDについて、市販のデータ復元ソフトを使って一部のデータを復元していた。県が翌27日、個人情報や県の重要情報を含む内部資料であることを確認した。
これらのHDDは、県と富士通リースがリース契約を結び、今年春まで県のサーバーで使用していたものだった。県は契約満了に伴ってHDDを富士通リースに返却し、この際、県が内部のデータを消去。返却を受けた富士通リースは、ブロードリンクにHDDの破壊を委託した。
12月5日、富士通リースの調査でブロードリンクの社員1人がデータ消却前にHDD18本を盗んでオークションサイトに出品し、全て落札されていたことが判明した。情報提供元の男性は同日、購入した9本のHDDを返却した。
ブロードリンクは6日、HDDを盗んだ社員を警視庁大森署に告発するとともに、この社員を懲戒解雇。その上で、残り9本のHDDの回収について警察の捜査に委ねることを明らかにした。警視庁は6日夜、同社の元社員を窃盗容疑で緊急逮捕した。
ここまでが会見前に判明していた事実だ。その上で、会見の注目点は3つあった。(1)余罪を指摘されていた元社員が他のHDDも転売していた事実の有無と、余罪の影響範囲、(2)なぜHDDは破壊されなかったのか、(3)なぜ社員は簡単にHDDを盗むことができ、チェック機能が働かなかったのか
7844個がネットオークションで落札される
1点目の余罪について、ブロードリンクは会見で、次の事実を明らかにした。元社員が入社した2016年2月以降に、ネットオークションに出品されて落札されたのは総計7844個で、そのうちハードディスクのように記憶領域を含む商品が3904個あった。ヤフーオークションの他、メルカリにも出品されていたという。
このうち、どの程度が同社から盗まれたものなのかは分かっていない。元社員が入社してから同社が取り扱ったアイテム総数は321万2415個あり、記憶領域があって元社員が扱う可能性があったアイテムは22万8832個。同社はこの約23万個と、元社員が出品し、落札された3904個を写真などで突合する作業に入った。
深田洋専務取締役は「(別の官公庁や企業のHDDである可能性を)調査している。事実が発覚すれば速やかに公表する」とした。元社員は「毎日のように盗んでいた」と供述しているとされることから、多くのHDDが取引先のものだった可能性が高い。
2点目の「破壊されなかった理由」についても、同社は現時点での見解を示した。
物理的な破壊を依頼された場合、依頼主が希望すれば、破壊後に写真などを添付した「破壊証明書」を送付するが、今回の富士通リースとの契約では証明書は送らないことになっていた。
同社は証明書を希望しない案件では、取り外したHDDを他案件のHDDと一緒にカゴに入れ、順次、物理破壊機にかける。破壊した後にどの案件のHDDを破壊したかをトレースすることはしていなかった。同社は会見で「元社員はこのカゴからHDDを盗難した可能性が高い」とした。
最後の3点目。チェック機能が働かなかったことについて、同社はセキュリティー対策に不備があったことを認めた。
これまで同社は、カードキーによる退出管理や24時間態勢の防犯カメラ、退勤時の手荷物検査など7つのセキュリティー対策を実施していた。
ただし、防犯カメラの映像を常に確認してはおらず、「何か(問題などが)あったときに確認するだけだった」(萩藤和明執行役員)。手荷物検査は「不定期の実施で、(頻度が)十分ではなかった」(村上崇副社長)として管理体制の問題が今回の盗難につながったことを認めた。元社員はこうした対策の隙を狙ってHDDなどを盗み出したとみられる。
同社は今回の問題を受けて再発防止策を発表。第1段階として、全てのHDDに対して破壊前後にそれぞれ写真を撮影する他、操業時の入退室は全て有人で手荷物検査を実施する。第2段階として、セキュリティーゲートの設置、セキュリティーカメラの増設、外部講師によるセキュリティー研修の定期的な実施、の3点を挙げた。
業界大手によるHDD転売という前代未聞の事件の焦点は、元社員がオークションで転売した他のHDDの所在と、その中に含まれるデータに移る。同社は年間1000から1500社と取引実績があり、官公庁も含まれる。記憶領域を持つ3904個の多くの行方は分かっておらず、他の官公庁や企業にも問題が飛び火する恐れがある。
この記事はシリーズ「1分解説」に収容されています。WATCHすると、トップページやマイページで新たな記事の配信が確認できるほか、スマートフォン向けアプリでも記事更新の通知を受け取ることができます。
Powered by リゾーム?