本当にあった恐ろしい事件…PC・機器廃棄時の漏洩事例

IT・IT製品TOP > Key Conductors > 金田 智行(株式会社パシフィックネット) > 本当にあった恐ろしい事件…PC・機器廃棄時の漏洩事例
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

本当にあった恐ろしい事件…PC・機器廃棄時の漏洩事例

物理セキュリティ 2015/09/17

 これまでの連載では、マイナンバーに対応した機器処分についてお話してまいりましたが、PC等の機器・電子媒体に記録されたデータの漏洩を確実に防止すること=復元不可能な形で消去されていることが最重要です。過去のデータ漏洩・流出事例の中にも、機器処分(廃棄)段階にその原因がある事例があり、今回は一例を紹介したいと思います。  

<データ漏洩・流出事例1> オークションで無断転売!PCに残った情報が…

 今から僅か7年前の2008年6月、岩手県生物工学研究所で使用していたリース契約満了のPCの一部がインターネットオークションで無断転売され、購入した企業の連絡でデータが流出していたことが発覚しました。同研究所では同年3月26日に地元SIer企業との5年間のリース契約を満了したPC57台を返却。リース元のSIerは仙台にある廃棄物処理業者に、記録媒体の物理破壊によるデータ消去を条件に回収を依頼しましたが、廃棄物処理業者は同年4月3日に廃棄完了の報告をSIerに行っていたものの、実際には同業者を同年3月末で退職したアルバイトが物理破壊をしないまま無断でPC57台中25台を持ち出し、インターネットオークションに出品していました。
 新聞報道によれば、PCにはシンポジウムへの出席者や共同研究者340名の個人情報に加え、出願済みの特許情報なども記録されていました。そのうちの2台を購入した企業が、PCにそれらの情報が残っていることを見つけ、研究所に連絡し本件が発覚したということです。   最終的には57台全てのデータ消去を行い、情報の漏洩がなかったことが同研究所により報告されましたが、2台を購入したのが今回のような善良な企業でなかったらと思うとゾッとしてしまいます。
 本件については、契約条件に盛り込まれた物理破壊を速やかに行わず、台数の確認さえ行わずに完了報告をしていた廃棄物処理業者に原因はありますが、最終的にどのような処理が行われることを把握しないまま委託した岩手県と、そのような体質の業者を選定・再委託したSIerと、更に消去された事実の確認をデータ証明書をもって行うことなく各委託先からの報告だけで完了としていた岩手県とSIer両者にも大きな過失があります。  

<データ漏洩・流出事例2> 何もせずにダンボールで廃棄…個人情報がネット流出

 こちらは、2007年4月11日に大阪府岸和田市から発表になったもので、岸和田市立斎場の職員が同年1月頃に、斎場事務所裏に使用済みPC1台を廃棄目的でダンボールに入れ放置していたところ、同年夏頃までの間に盗難され、PCに記録されていた業務日報や火葬表、燃料使用日報などの帳票に記載された火葬された方やその遺族など約1万名の個人情報が、何者かによってファイル交換ソフトを通じてインターネット上に流出していたことが判明したという事例です。(注意:すでに亡くなった方の情報は個人情報保護法上は対象外となりますが、遺族の個人情報は対象となります。しかしマイナンバー法では死者の情報も対象となりますので注意が必要です。)
 盗難にあったPCは職員個人の所有物を上長の許可を得て使っていましたが、データは消去されることなく誰もが触れられる場所に放置されていました。この事例では、私物を安易に使用していたことが一つ目の問題。そして廃棄ルールが定められておらず個人の判断で、データ消去もされず放置されていたことが第二の問題点と思われます。岸和田市においてPC等の機器管理やPC廃棄やデータ消去の厳格なルールが運用されていれば、いずれも防止できた問題と言っても良いでしょう。
 実はこの事例のようにPCを何もせずに廃棄するということは、驚かれるかもしれませんが極めて稀ということではないのです。弊社で今年初めて訪問させていただいた、とある中堅の出版社では使用済みPCは特にデータを消去することもなく粗大ゴミとして廃棄しておりました。「PCのデータは大丈夫なのですか?」とお聞きしたところ、ご担当者は「HDDは抜き取って別の日に出しているから大丈夫ですよ」と笑顔でお答えになりました。あまりの危機意識の無さに驚きましたが、笑い話では済まされません。  

<データ漏洩・流出事例3> 2,500名分の個人情報入りHDDが中古品量販店に…!

 次は2008年1月に公表された、大手メーカーH社が消防庁らの依頼で行ったPCのHDD修理交換作業において、その処理過程で誤ってHDDの一部が中古品量販店(リユースショップ)に流出していたという事例です。
 HDDには、防火診断を行った方2,500名分の個人情報や、消防署員の経歴・出勤状況などが記録されていたそうです。 H社が修理を委託している子会社が、動作不能と判断した一部HDDを金属材料等のリサイクルを目的として売却したところ、再委託先の資源リサイクル業者から本来破砕するはずのHDDが誤って外部に持ち出され、中古品量販店でそのHDDを購入した男性からメールでの情報提供により発覚しています。
 この事例においても、H社の子会社が委託している先の資源リサイクル業者が、機器をどのような管理の下、どのような教育を受けた上で、どのような処理を行っているかなどの確認を行った上で、選定・委託をしていたのかが疑問に思えます。また子会社は、破砕を前提で委託するとしても、自社ないしは委託によりデータ消去を行った上で資源リサイクル業者へ引き渡していればこのような事態にはならなかったのではないでしょうか。
(注意 産業廃棄物処理として委託をする場合は、委託した産業廃棄物の処理が適正に実施されたかどうかを確認するための産業廃棄物管理票=マニフェストが作成されるはずですが、その文書の有無や内容は公表されていません。しかし産業廃棄物管理票にはそもそもデータ消去の概念はなく、情報機器や電子媒体の廃棄・処理には不向きと言って良いでしょう。)

 これらの事例はいずれも、マイナンバーに限らず廃棄時のセキュリティ意識の低さが招いたものばかりですが、マイナンバーの制度をきっかけにこれまで無頓着だった機器・電子媒体の処分時のルールを見直されることを切に願ってやみません。

 次回はいよいよ最終回。今回触れることができなかったコスト面での「廃棄」と「データ完全消去〜リユース」の比較と、リユースを選択すべき法的根拠についてお話いたします。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008201


IT・IT製品TOP > Key Conductors > 金田 智行(株式会社パシフィックネット) > 本当にあった恐ろしい事件…PC・機器廃棄時の漏洩事例

このページの先頭へ

Key Conductors Award 2016 上半期受賞者 発表
キーマンズネットとは
株式会社パシフィックネット取締役 アセット営業部長 2003年パシフィックネット入社。名古屋支店長を5年務めた後、IT機器の買取・回収などの処分や、 データ消去サービスを取り扱うアセット営業部の部長として主力商品であるアセットサービスを牽引する。2014年取締役に就任。

ページトップへ