2019年12月06日、私たちの生活を支える行政の信頼を揺るがす衝撃的なニュースが飛び込んできました。神奈川県庁が使用していた共有サーバーのハードディスク(HDD)が、あろうことかネットオークションを通じて外部に転売されていたことが判明したのです。流出した恐れのあるデータ量は、驚くべきことに最大54テラバイトにものぼると予測されています。
この膨大なデジタルデータの中には、個人の氏名や住所が記された大切な納税記録のほか、企業から提出された機密書類や行政の意思決定プロセスを示す起案文書が幅広く含まれていました。情報の宝庫とも言えるデバイスが、適切な処理を施されないまま市場に放たれたという事実に、県民のみならず日本中が大きな不安に包まれています。
SNS上では「信じられない管理体制だ」「自分のマイナンバーや納税情報が売られているかもしれないと思うと恐ろしい」といった怒りの声が噴出しています。また、「物理破壊を確認するまでが廃棄ではないのか」という、情報セキュリティのプロフェッショナルや意識の高いユーザーからの厳しい指摘も相次いでおり、事態は沈静化の兆しを見せません。
ずさんな廃棄プロセスと「データ消去」の落とし穴
事の経緯を辿ると、組織的な管理の甘さが浮き彫りになります。神奈川県は富士通リースからサーバーを借り受けており、2019年の春に交換時期を迎えたHDDを同社へ返却しました。その後、廃棄作業を委託されたブロードリンク社の40代男性社員が、あろうことか作業前のHDDを不正に持ち出し、オークションへ出品していたことが明らかになったのです。
ここで注目すべきは「初期化」という言葉の定義でしょう。県は返却時に初期化を行っていましたが、これは目次を消すような簡易的な操作に過ぎず、データそのものはHDD内に残存していました。専用ソフトを使えば容易に中身を覗ける状態だったのです。本来であれば、磁気破壊や物理的な破砕によって、復元不可能な状態にする必要がありました。
現在、流出したとされる18個のHDDのうち、県が回収できたのは半数の9個に留まっています。回収分については落札者によってデータが復元されたことが確認されており、未回収の9個についても同様のリスクが否定できません。県は現時点で悪用の形跡はないとしていますが、一度外に出たデータの行方を完全に追うことは極めて困難でしょう。
編集部が斬る:性善説に頼り切ったセキュリティの限界
今回の事件は、委託先企業の「たった一人のモラル」に依存していたセキュリティ体制の脆弱性を露呈させました。どれほど高度なシステムを構築しても、最終的な物理破棄のプロセスで人間の悪意を排除できなければ、砂上の楼閣に過ぎません。行政には、委託先での作業完了を動画や写真で確認するなどの、より厳格な監査が求められるはずです。
富士通リースは「事実関係を確認中」として口を閉ざしていますが、元請けとしての責任は重大です。私たちは、自分のデータがどのように捨てられるのかまでを注視しなければならない時代に生きています。県が掲げる「再発防止」という言葉が、単なるスローガンに終わらないよう、情報管理のあり方を抜本的に見直す契機にすべきではないでしょうか。
コメント