とんでもない事件が発生しました。
長年漏洩事故をチェックしていますが、これは本当に酷い。
流出した量もですが、内容も酷い。
私はよく個人情報の漏洩事故について、
「どんなに対策しても結局は人ですよね…」と言っていますが、
今回の件は、「結局は人ですよね…」と言うレベルではないな、と思うのです。
--------------
事件の概要:
神奈川県庁のファイル共有用サーバーで使用していたハードディスクを、リース会社に返却した際、リース会社からデータ消去を請け負っていた会社(株式会社ブロードリンク)の元社員(事件後に懲戒解雇)が、HDDを持ち出してネットオークションで転売していたもの。
その後の調査で、元社員は今回発覚した神奈川県庁のHDD以外にも、約3年前から計3,904個もの記憶媒体をネットオークションで転売していたことが判明。
https://www.pref.kanagawa.jp/index.html
(神奈川県庁HP)
https://www.broadlink.co.jp/
(株式会社ブロードリンクHP)
流出した記憶媒体の数を考えると、恐ろしい量の個人情報が流出したと想像できます。
株式会社ブロードリンクの主要取引先には、東京証券取引所、日本郵政グループ各社、最高裁判所、防衛省、官公庁、地方自治体をはじめ、有名大企業が名を連ねているため、想像もつかない重要な情報が含まれている可能性があります。
事件を公表した神奈川県庁のHDDは、「3,904個」のうちの「18個」とのことなので、残りはいったい…
--------------
データ消去業務を主要な事業として行っている会社で、
最も大きなリスクは、大量の記憶媒体が消去されずに持ち出されることです。
そのリスクに対して、あまりに対策が脆弱すぎたように見えます。
3年間もほぼ毎日のように持ち出していたという報道がありますが、
それができた作業環境が不思議です。
私も以前の会社では、大量の個人情報を取り扱う環境で、
データの完全消去を担当していたことがありますが、
何重もの人の手、技術的な制御、監視カメラ、作業ログを張り巡らせ、
持ち出すことは心理的にも環境的にも難しい体制となってました。
お客様の大事な情報を取り扱う企業として、
作業者の性善説ではなく、客観的に説明できる仕組みを再構築しないと、
こういった事件が起こった際に管理不備を露呈してしまうことになります。
今回の事件では、社長の辞任や多くの取引先から取引停止に追い込まれるという事態に陥っており、最悪、企業の存続も危ぶまれる状況となります。お客様の信頼を得るためだけでなく、真面目に業務を行っている多くの社員を守るためにも、セキュリティ対策を考えていかないといけませんね。
