こんにちは。
インフラエンジニアのねるです!
今回の記事は人をHDDで叩くと痛いのかどうか検証する記事ではありません!
神奈川県庁から54TB分の容量のHDDが盗まれ、挙句の果てには転売されてしまった事件について言及する記事です。
あの事件はなぜ起きてしまったのか?インフラエンジニアが独自の見解を述べていきます。
システムの廃止や新規ハードウェアへのリプレース、ハードディスクの故障などの理由によって、古いサーバが不要となるケースがあります。
そういった際に、リース品(レンタル品)の場合はハードディスクを含めて返品しなければいけません。
今回の場合、神奈川県庁は富士通リースという会社から借りたHDDだったため、富士通リースへサーバ毎返品しています。
神奈川県庁と富士通リース間ではデータを破棄するという契約になっており、"本来は"データを消去しましたという報告書を貰う予定でした。
実態としては、富士通リースからブロードリンクという会社へHDDの廃棄を依頼していたが、廃却後数か月経っても報告書を受け取っていない状態でした。
神奈川県庁としては、重要な個人情報データを取り扱っているにも関わらず報告書を受け取るというチェックをしていなかったのが唯一の落ち度でしょう。
一部メディアが「なぜHDDの廃却に立ち会っていないのか」という批判をしていましたが、ブロードリンク社とは直接契約していないので現実性がないですし、そもそも複数のシステムを運用していたら廃却に立ち会っていられないです。
また、ITの専門家でもない神奈川県庁の事務員が立ち会ったところで、本当にデータを消去しているかなんて分からないでしょう。
今回、1番悪いのはブロードリンクでデータ消去をせず、HDDを窃盗して転売した犯人なのは自明ですが、ブロードリンク社のチェック体制にも問題がありました。
ブロードリンク社は契約社員やパート社員に対しては毎日の退勤時に持ち物検査をしていたようですが、正社員に対しては週1、2回しかチェックしていなかったと報じられています。
お客様のデータを扱うことを主たる業務としている会社にしては、杜撰なチェックですよね。手間なのも毎回のチェックがザルになっていくのも分かりますが、セキュリティホールを作ってしまったと言われても言い逃れはできません。
犯人の男はデータが目的ではなく、HDDを転売して金銭を得ることが目的だったそうです。うちの会社でも、やろうと思えば簡単に盗めるよなぁ…。と思ってしまいます。
この世界最悪級の個人情報流出事件を対岸の火事と思わず、今一度見直してはいかがでしょうか?
いかがでしたか?なんちゃらかんちゃら。終わり!