2019年12月6日、日本の行政機関における情報管理の在り方を根底から揺るがす衝撃的なニュースが飛び込んできました。神奈川県が使用していた、膨大な個人情報を含むハードディスク(HDD)が、あろうことかネットオークションを通じて転売されていたことが判明したのです。
事態を重く見た警視庁捜査3課は、2019年12月7日までに、HDDの廃棄処理を請け負っていた「ブロードリンク」の社員を窃盗容疑で逮捕しました。容疑者は社内の消去室からHDDを盗み出したとされており、このあまりに「ずさん」な管理体制に、SNS上でも「信じられない」「個人情報の重みをどう考えているのか」といった怒りの声が噴出しています。
神奈川県の黒岩祐治知事は2019年12月6日に記者会見を開き、県民の信頼を損なったとして深く謝罪しました。県は富士通リースからサーバーを借りていましたが、機器の更新時期に伴い、HDDのデータ消去をブロードリンク社に委託していました。本来であれば、これらは物理的に破壊される運命にありました。
「物理破壊」とは、文字通りHDDにドリルで穴を開けるなどして、記録媒体を物理的に壊し、データの復元を不可能にする最も確実な消去方法の一つです。しかし、作業前に18個ものHDDが持ち出され、そのうち9個は依然として回収できていないという事態は、行政のチェック体制がいかに甘かったかを物語っているでしょう。
委託先任せの限界と求められる徹底した再発防止策
今回の事件の背景には、委託先であるブロードリンク社の管理不備があります。同社はシリアルナンバーで機器を管理していたものの、実際に破壊処理が完了したかを確認するプロセスが欠落していました。リサイクル目的で外部へ持ち出しても気づかれない環境は、情報セキュリティのプロとして致命的な過失と言わざるを得ません。
この問題の影響は神奈川県だけに留まりません。国土交通省や防衛省、さらには大手金融機関など、多くの組織が同社に廃棄を委託しており、現在は確認作業に追われています。防衛省のように「引き渡し前に自ら破壊する」という徹底した自衛策を講じている例もありますが、多くの自治体にとっては外部委託が避けられない現実があります。
私は、今回の事件は単なる一企業の不祥事ではなく、日本全体の「情報リテラシー」と「アウトソーシングの責任」が問われていると感じます。どれほど便利なサービスであっても、最終的なデータの責任は所有者である自治体や企業にあります。人任せにするのではなく、最後まで責任を持って見届ける姿勢が不可欠です。
今後は、東京都が既に実施しているように、データの消去作業に職員が直接立ち会うといった「現場主義」の管理が標準となるべきでしょう。2019年12月以降、各自治体は契約内容の再確認や金属探知機の導入など、物理的な防犯対策を含めた抜本的な見直しを急がなければ、失った信頼を取り戻すことは困難です。
コメント