排出者に責任が問われるのはどういったケースか。そうしたIT機器処分における基礎知識をどこまで理解しているだろうか。2019年12月に発生した神奈川県庁のHDD不正転売事故のようなインシデントを起こさないために、知っておきたいIT機器処分の“オキテ”を説明する。
2019年12月6日午前5時過ぎ、出張のためにいつもより早く起床した私の目に飛びこんで来たのは衝撃的なニュースでした。
「行政文書が大量流出、納税などの個人情報を記録したHDDを転売」
ご存じの方も多いと思いますが、神奈川県庁のシステムで利用されていたHDDが、県庁から委託を受けた廃棄業者の従業員によってインターネットオークションで転売され、大きな問題となりました。転売されたHDD18台には、個人の納税記録や発電所の設計図など合計で54TBにも及ぶ機密情報が残留し、そのうち9台(27TB)が回収されたとのことです。「万が一、流出した情報が反社会的勢力などの手に渡るとどうなってしまうのか」と考えると恐ろしくなるような事件です。
筆者が在籍するパシフィックネットではIT機器の調達や運用管理、適正処理までを「LCM」(ライフサイクルマネジメント)サービスとして提供しており、一般企業やリース会社、官公庁などの使用済み機器のデータ消去やリユースなどを数多く手掛けています。私は同社で20年近くITAD(IT Asset Disposition、適正なIT機器の処分、リマーケティングを指す用語として欧米で広く認知されている)事業に携わってきましたが、神奈川県から委託を受けていた廃棄業者は当社の競合企業ということもあり、かなりのショックを受けました。
同時に今回の事件をきっかけに、「IT機器のライフサイクルで軽視されがちだった使用済み機器の処分に対する意識が、今後大きく変わるだろう」と確信しました。この事件が報道された直後、当社に多くの問い合わせが寄せられました。このことからも、いかに多くの企業や自治体、官公庁などが、IT機器の処分に悩んでいるのかが理解できたとともに、正しいIT機器処分の在り方を発信する必要性を強く感じました。
このような事件を二度と繰り返さないために、本連載(全4回)を通して、「IT機器の処分における企業課題」「適正な処分方法とプロセス」「当社が携わった処分事例」「企業のベストプラクティス」などをお伝えします。IT機器の適正な処分の推進と業界の健全化につながればと考えています。
2019年6月10日にJNSA(日本ネットワークセキュリティ協会)が発表した「2018年情報セキュリティインシデントに関する調査報告書【速報版】」によれば、個人情報漏えいの原因として最も多いのが「紛失・置き忘れ」で26.2%。あってはならない「盗難」「内部犯罪・内部不正行為」「不正な情報持ち出し」は合わせると9%にも上ります。盗難や内部犯行による情報漏えいが、全体の1割近くにも及ぶのです(図1)。
当然、企業は不正行為に対する何らかの手を打ってはいるのでしょうが、マルウェアや不正アクセスへの対策と比べると不十分に思えます。私は、神奈川県の情報漏えい事件は「ICTライフサイクルの機器処分フェーズにおける情報漏えいリスクが盲点となっていたために起こったのではないか」と考えています。
機器の処分フェーズで発生した不正転売による情報漏えい事故は、今に始まったことではありません。ここからは、過去に起きた2つの事件から読み取れる「廃棄処分のポイント」を考えていきます。
2008年6月、岩手県生物工学研究所で使用していたPCの一部がインターネットオークションで不正転売されていたことが、落札者からの通報で発覚した。同研究所は2008年3月に、5年間のリース契約を満了したPC57台をリース元であるシステムインテグレーター(SIer)に返却した。そのSIerは「記録媒体の物理破壊によるデータ消去」を条件に、機器の回収および廃棄を廃棄物処理業者に委託し、SIerは同年4月3日に廃棄業者から廃棄完了の報告を受けた。しかし、その廃棄物処理業者を同年3月末で退職した元アルバイトが、物理破壊をしないまま無断でPC57台のうち25台を持ち出し、インターネットオークションに出品していた。新聞の報道によれば、PCにはシンポジウムへの出席者や共同研究者340人の個人情報に加え、出願済みの特許情報なども記録されていた。そのうちの2台を落札した企業が、PCにそれらの情報が残っていることに気が付き、研究所へ連絡したという。
お気付きの方もいるかと思いますが、この事件は神奈川県庁で起きたHDD不正転売事件とほぼ同じ構図なのです。異なるのは流出元が「買取業者」でなく「廃棄業者」であるということ。通常は廃棄完了時に、機器が廃棄されたことを証明する「マニフェスト」(産業廃棄物管理票)を交付します。ただ、マニフェストには廃棄物の数量や重量が記載されているだけで、これだけでは廃棄品を特定できません。ここが盲点となりやすいのです。
また「廃棄物の処理及び清掃に関する法律」(廃掃法)では、廃棄事業者だけでなく排出者の責任も規定されているため、この事件は、排出者である研究所の責任も問われる事案だったと私は考察します。
いま問題の神奈川県庁のHDD不正転売事件と同様のインシデントが2008年に発生し報道されていたにもかかわらず、11年たった現在でもその教訓が何ら生かされていないことを、私は非常に残念に思います。
なお続報によると、岩手県生物工学研究所から流出した全ての機器は回収され、適切に処分されたようです。しかし、回収されるまでの間にデータがコピーされ、不正利用された可能性も拭いきれず、手放しでは安心できません。
処分された機器が特定できるよう、機器それぞれのエビデンスが必要
2017年2月、インターネットオークションで落札したHDDに中学校生徒の個人情報が残留しており、問題となった。オークションに出品されていたHDDは、岐阜県のある中学校のパソコン室のサーバに内蔵されていたものだった。タブレット端末の導入に伴い不要になったため、2016年8月に学校教育向け情報システムを取り扱う名古屋の企業に廃棄処分を依頼した。その受託業者は、廃棄業者にデータの消去と物理破壊を委託し、2016年12月にデータ消去と破壊処理を終えたと廃棄証明書を市の教育委員会に提出していた。
この事件は当時、廃棄業者の間でかなり話題になった事件ですが、全国的に報道は少なく、世間に警鐘を鳴らすまでには至りませんでした。
私は、この事件の深刻さは「廃棄業者の従業員による不正なのか」もしくは「会社の不正なのか」を特定しきれていないところにあると考えます。一部の報道を見ると、複数の廃棄業者に委託していたため原因が特定できなかったともあります。もしそうだとすると、廃棄品を最後までトレースしていなかった受託業者側に問題があるとも思えますが、廃棄物として排出しているのであれば、ケース1の事例と同様に、廃掃法により排出元である中学校にも責任が生じる可能性があります。
教育委員会の報告を見ると、再発防止策として「物理破壊の立ち合い」もしくは「写真報告」とありますが、原因が特定できていない状況で本当にそれが再発防止策として有効なのかどうかは、よく検討すべきではないかと思います。
IT機器の処分に際して、万が一の事故や流出に備え、トレーサビリティーの確保を念頭においた機器処分プランの策定
これはIT機器に関する話ではありませんが、2016年1月に、ある飲食チェーン店が廃棄を依頼した冷凍カツを廃棄業者が横流しした「廃棄冷凍カツ不正転売事件」が社会問題となりました。IT機器であっても、食品であっても、廃棄物に関しては排出者の責任が法律で定められています。今回の神奈川県庁のデータ流出問題を見ると、排出者責任が法的に問われない有価物(有償で売却される排出物)であったとしても、世間から責任を問われるのは、排出者になるといえます。
今回の事件をテレビやインターネット掲示板などで見ていると、廃棄物と有価物の違いを本当に理解している人は少ないように感じました。同時に、廃棄物であろうが有価物であろうが処分フェーズで発生する問題は、どのような手段で処分しようとも排出者の責任が重いことは同じだとも感じます。
このような見解を書くと当社への依頼が無くなりそうですが、大切な情報を守るには、廃棄および処分を下請け業者(委託先)に任せるだけではなく、排出者にも責任があるのだということを強く意識し、対応する必要性があるのだと感じます。
次回以降は、神奈川県庁で発生したような事故を起こさないためにはどういった対策が必要なのかを、IT機器ライフサイクルのフェーズごとに解説します。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。