ニュース
» 2019年12月20日 08時00分 公開

「なぜIT機器の転売事故は繰り返されるのか」を過去の事例から読み解く

排出者に責任が問われるのはどういったケースか。そうしたIT機器処分における基礎知識をどこまで理解しているだろうか。2019年12月に発生した神奈川県庁のHDD不正転売事故のようなインシデントを起こさないために、知っておきたいIT機器処分の“オキテ”を説明する。

[杉 研也,パシフィックネット]

著者紹介:杉 研也

IT機器の調達から運用管理、データ消去、適正処理までをLCMサービスとして提供するパシフィックネットの取締役を務める。約20年にわたり、企業や官公庁におけるIT機器の排出からデータ消去、リファービッシュまで、数多くのリユースおよびリサイクルの現場に携わる。環境省が開催する「使用済製品等のリユース促進事業研究会」で委員を務め、また総務省がオブザーバーとして参加する「リユースモバイル関連ガイドライン検討会」で主査に任命されるなど、社外活動にも積極的に参加、リユース業界の透明性の高い健全な発展に尽力する。また渡航経験も豊富で、海外のIT機器リユース事情にも精通する。


 2019年12月6日午前5時過ぎ、出張のためにいつもより早く起床した私の目に飛びこんで来たのは衝撃的なニュースでした。

 「行政文書が大量流出、納税などの個人情報を記録したHDDを転売」

 ご存じの方も多いと思いますが、神奈川県庁のシステムで利用されていたHDDが、県庁から委託を受けた廃棄業者の従業員によってインターネットオークションで転売され、大きな問題となりました。転売されたHDD18台には、個人の納税記録や発電所の設計図など合計で54TBにも及ぶ機密情報が残留し、そのうち9台(27TB)が回収されたとのことです。「万が一、流出した情報が反社会的勢力などの手に渡るとどうなってしまうのか」と考えると恐ろしくなるような事件です。

 筆者が在籍するパシフィックネットではIT機器の調達や運用管理、適正処理までを「LCM」(ライフサイクルマネジメント)サービスとして提供しており、一般企業やリース会社、官公庁などの使用済み機器のデータ消去やリユースなどを数多く手掛けています。私は同社で20年近くITAD(IT Asset Disposition、適正なIT機器の処分、リマーケティングを指す用語として欧米で広く認知されている)事業に携わってきましたが、神奈川県から委託を受けていた廃棄業者は当社の競合企業ということもあり、かなりのショックを受けました。

 同時に今回の事件をきっかけに、「IT機器のライフサイクルで軽視されがちだった使用済み機器の処分に対する意識が、今後大きく変わるだろう」と確信しました。この事件が報道された直後、当社に多くの問い合わせが寄せられました。このことからも、いかに多くの企業や自治体、官公庁などが、IT機器の処分に悩んでいるのかが理解できたとともに、正しいIT機器処分の在り方を発信する必要性を強く感じました。

 このような事件を二度と繰り返さないために、本連載(全4回)を通して、「IT機器の処分における企業課題」「適正な処分方法とプロセス」「当社が携わった処分事例」「企業のベストプラクティス」などをお伝えします。IT機器の適正な処分の推進と業界の健全化につながればと考えています。

情報漏えいの原因、全体の約1割を占める「盗難」「内部犯罪」

 2019年6月10日にJNSA(日本ネットワークセキュリティ協会)が発表した「2018年情報セキュリティインシデントに関する調査報告書【速報版】」によれば、個人情報漏えいの原因として最も多いのが「紛失・置き忘れ」で26.2%。あってはならない「盗難」「内部犯罪・内部不正行為」「不正な情報持ち出し」は合わせると9%にも上ります。盗難や内部犯行による情報漏えいが、全体の1割近くにも及ぶのです(図1)。

 当然、企業は不正行為に対する何らかの手を打ってはいるのでしょうが、マルウェアや不正アクセスへの対策と比べると不十分に思えます。私は、神奈川県の情報漏えい事件は「ICTライフサイクルの機器処分フェーズにおける情報漏えいリスクが盲点となっていたために起こったのではないか」と考えています。

図1 漏えい原因比率(出典:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」を基にパシフィックネットで作成)

繰り返される不正転売事故、事件から考える「処分の対応ポイント」

 機器の処分フェーズで発生した不正転売による情報漏えい事故は、今に始まったことではありません。ここからは、過去に起きた2つの事件から読み取れる「廃棄処分のポイント」を考えていきます。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。