神奈川県庁のサーバーから取り外されたハードディスク(HDD)がネットオークションを通じて転売され、大量の行政文書が流出した問題で、神奈川県は6日、「データ消去やHDDの廃棄を請け負った企業の社員が18個転売していた」と明らかにした。うち9個は回収済みだが、9個は行方がわからず回収できていない。
(朝日新聞より)
3TBのHDD18個で1800万件の納税情報になるという。9個のHDDは回収済みなので、900万件の納税情報が行方不明となっている。
報道によると、神奈川県庁のサーバーをリース会社に返却。県庁はリース会社にHDDのデータを復元不可能な状態とすることを契約条項に入れていた。リース会社は、廃棄処理会社にHDDのデータ完全消去(データを完全消去するか、HDDを物理的に破壊)するよう指示。廃棄処理会社の従業員が、HDD18個をネットオークションで転売。
実行犯である従業員はHDD内のデータが何であるか、完全消去が契約条件であることを知らなければ、横領の罪にしかならないだろう。
廃棄処理会社は、HDDを完全消去しなければならないこと、消去作業の完了・未完了を現物に表示しておかねば「事故」が起こることを予測できたはずだ。当然データ流出の責任を問われるだろう。
しかしデータの守秘義務は県庁にあるはずだ。サーバ返却時にリース会社との契約にデータを復元不可能な状態とすることを入れておいても免責となるわけではないと思う。
HDDの再フォーマットは時間はかかるが、手間はかからない。
県庁はHDD再フォーマット後にリース会社に返却すべきだったのではないだろうか。
このコラムは、2019年12月11日に配信したメールマガジン【中国生産現場から品質改善・経営革新】第913号に掲載した記事に加筆修正しました。
【中国生産現場から品質改善・経営革新】は毎週月・水・金曜日に配信している無料メールマガジンです。ご興味がおありの方はこちら↓から配信登録出来ます。
【中国生産現場から品質改善・経営革新】