ここから本文です

個人情報が保存された神奈川県庁のHDD計54TB、転売される 処理会社の従業員が横領

2019/12/6(金) 14:14配信

ITmedia NEWS

 神奈川県庁の行政文書が保存されたHDDがネットオークションで転売され、最大で54TB分の個人情報を含むデータが外部に流出していたことが12月6日、同庁への取材で分かった。ファイルサーバに搭載していたHDDの交換時に、古いHDDの処分を担当した専門会社ブロードリンク(東京都中央区)の従業員が一部を横領、転売したという。

【画像】ブロードリンクは「安心のデータ消去」をうたっている

転売のいきさつ 県庁職員は破壊の現場に立ち会わず

 神奈川県庁は、機器レンタルを手掛ける富士通リース(東京都千代田区)からレンタルしていたファイルサーバのHDDを2019年春にメンテナンスで交換した。両者はHDDの処分方法について「データが読み出せないように処分し、完了後は報告書を作成する」とする契約を結んでいた。その後、富士通リースはHDDの処分をブロードリンクに依頼した。

 ブロードリンクはほぼ全てのHDDを物理的に破壊処分したが、一部のHDDを従業員が破壊しないまま横領し、ネットオークションで転売していたという。転売されたHDDは計18台、総容量は54TBに上る。実際に流出したデータ量については「現在調査中で詳細な数値は不明」(神奈川県庁)としている。

 神奈川県庁の管理していた行政文書や写真、税に関する情報などのデータは消去された状態だったが、HDDに一旦保存されたデータは専用ソフトなどで復元できることがある。完全に読み取れない状態にするには、物理的な破壊を行う必要があり、法人などは専門業者に依頼するのが一般的だ。

 HDDの物理破壊をブロードリンクに依頼したのは富士通リースで、神奈川県庁とブロードリンクの間には直接的な契約はなかったとして、県庁職員は破壊の現場には立ち会わなかったという。

 ネットオークションで転売されたHDDは一般男性が落札。データが保存された形跡に気付いた男性がデータを復元したところ、神奈川県庁のものとみられるファイル名が確認できたという。男性が報道機関に調査を依頼し、データの内容やHDDのシリアルナンバーから神奈川県庁がレンタルしていたものと特定され、事実が判明した。

 HDDは4年ほど前から使っていたものだった。個人情報や機密情報が含まれるファイルにはパスワードをかけていたが、暗号化の処理などは行っていなかったという。

 HDDの処分が決まった時点で、神奈川県庁自身もデータを消去する操作を行っていた。発見されたデータについても「ファイル名は分かったものの、文書の本文はほとんど閲覧できない状態にあった」(県庁職員)という。

 神奈川県庁は、転売されたHDDのうち9台は報道機関を通じて返却されているが、残りの9台はいまだ見つかっていない。

 今回の流出について神奈川県庁はITmedia NEWS編集部の取材に対し「HDDの処分状況を追跡できていないことが課題だと分かった。今後は処分状況も管理できるような契約を考えている」とし、「今後はデータを暗号化して保存するようにする」とコメントした。

 富士通リースは「現状でお話できることはない」としている。

 神奈川県庁は6日午後、同件について記者会見を行い、詳しいいきさつなどを正式発表する。

 富士通リースは6日、「業務委託先からのハードディスク(HDD)流出について」と題する声明を発表。「当社は対象物件のデータを復元不可能な状態にする作業をブロードリンクに業務委託していた。同社従業員が当該HDDの一部をネットオークションで転売した事実を確認し、6日、ブロードリンクが警察に被害届を提出し受理されたとの連絡を受けている」と説明した。

 今後は警察の捜査に全面協力するとしており、「このような事態を発生させたことを重く受け止め、真摯に対応して参ります」とコメントした。

【編集履歴:2019年12月6日午後2時30分 富士通リースが声明を発表したため追記しました】

ITmedia NEWS

最終更新:2019/12/9(月) 19:22
ITmedia NEWS

こんな記事も読まれています

あなたにおすすめの記事