エンドポイントの情報漏えい対策を考えるコラム

働き方改革のなかでの情報セキュリティ

緊急!神奈川県庁データ漏えい事故についての見解

by · 公開 · 更新済み

2019年12月6日、神奈川県庁において、個人情報や機密情報を含む行政文書が保存されていたHDD等の記憶媒体が転売されていたことが報道で判明いたしました。データの消去・処分を専門会社に委託することは一般的に行われており、この事件のような情報漏洩を防ぐために、事業者には十分な対策が望まれる。​

HDD等の記憶媒体が転売。
個人情報を含む行政文書が復元可能な状態に​

今回の事件の経緯は次の通りです。神奈川県庁がリース契約満了にともないリース会社にHDDを含む機器を返却した際、その機器の廃棄処分をリース会社よりデータ消去専門会社に委託していた。しかしこの会社の作業者は廃棄処分を行わず、これら機器を持ち出しオークションサイトで転売していた。機器を入手した人がデータ復元ソフトを使用したところ、データが復旧され、漏洩したということである。​
内部による犯行はセキュリティの世界でも大きな問題であり、これを完全に防ぐことは非常に困難と想定されます。神奈川県庁が契約しているリース会社との契約では、「消去証明書」を送付する取り決めされていましたが、消去や廃棄を証明するエビデンスが提出されていませんでした。また、神奈川県庁がリース会社に返却する際、HDDは「初期化(フォーマット)」したのみで、データ復元可能な状態だったという。

どんな対策をすればよいのか?「消去を実行したことを知ること」​

今回の問題を受けて、神奈川県は再発防止策として、今後は契約満了時に職員立ち合いのもとで、個人情報や重要情報が保存されているデータ記憶装置を物理破壊させ、その他については、消去のソフトウェアでの消去を実施すると報告している。しかし、「人」が関わる以上、職員による内部不正や立ち合い時の不手際など、ヒューマンリスクを完全に排除することはできない。事業者がリスクを低減し、データを適切に消去したことを証明するためには、第三者による証明を提示することが必要であると言える。​

第三者証明の仕組み​

① 第三者機関のデータ消去証明書の発行の依頼を受けた事業者は、消去を実行する前にデバイスを特定する固有情報(製造シリアル番号、ストレージ型番、容量等)を第三者機関のシステムに登録し、そこからの処理番号を受理します。

② 第三者機関によってあらかじめ承認された消去プログラムを用いてデバイスの消去が完了したら、消去実行情報(消去方法、消去容量等)と処理番号をADECシステムに送信します。

③ 消去の前後で取得した①と②の情報が適合すれば正しく消去が実行されたと判断してデジタル証明書が発行されます。

  • 2019年に発生した神奈川県庁データ漏洩事故についての見解書を公開

    【2019年発生の神奈川県庁データ漏洩事故についての見解書を公開】

    2019年に発生した神奈川県庁データ漏洩事故について、その発生から本インシデントを踏まえての今後の対策などを見解書としてまとめています。

    タブロイド紙をダウンロード

消去業界の健全化に向けたの認証の仕組み

データ適正消去技術認証フロー

データ消去サービス事業者認証フロー

消去の立ち合い確認における課題

今回の事件を受けて総務省は12月6日、個人情報が大量保存された記録装置の処分について、物理的に壊すなどして使えなくするよう全国の自治体に通知。作業完了まで職員を立ち会わせることも求めました。HDD・SSDを搭載するパソコンやサーバー、ネットワーク機器のリース・レンタル時の返却や利活用するための転売および廃棄する際に、「自治体職員が業者のディスクの穴あけ破壊、磁気破壊を実施して廃棄に立ち会うよう求める」ことを徹底されることを発表した。しかし現実には実施に当たり多くの課題があり、日本国内にあるデバイスすべてのデータ消去を実施することは当協会では困難であると認識している。

  • 破壊するための機器が不足している​
  • 監視する人員が不足している
  • 輸送時にデバイスを紛失することも多くある
  • 破壊した場合にはリサイクル、リユースができないために環境的な問題がある
  1. 製品(HDD)によっては、3.5インチの筐体に2.5インチのプラッタ(円盤)を組み込んでいるものも存在する、またそうでないものにおいても、穴の場所(破壊の方法)によってはプラッタ(記録円盤)に損傷を与えることが出来ない可能性が存在するため、外観による判断だけで確実な処理が実行されたという判定が困難である。​
  2. 上書き消去が1回で良いとされている理由は、上書きされた部分から以前に書き込まれたデータのはみ出す可能性を持つ幅が、現在の技術では読み出し不可能な程狭いことが理由であり、そのためにNIST SP800-88においても「2001年以降に生産された15GB以上のHDDでは上書き回数は1回で十分である」としている。​
    プラッタが物理的な損傷を受け、破砕されても、その破片から現在存在する技術で読み出すことが出来ることを認めている。そのため、物理破壊・破砕においても事前処理として上書き消去を行なうことが必要となる。
  3. 破壊・破砕処理の実行証明を目的に写真を添付する場合においても、1枚の写真で損傷・破砕の状態と共にメーカ品番、製造番号を同時に目視判読可能な状態で明示する必要があるため、製品のラベル等を傷つけることなくプラッタに損傷を与える又は破砕することが要求される。この要件を満たすことができない場合は、写真の使い回しが可能となるため、証明書の要件を満たすことが可能であるとは言えない。
  4. 上記の様に、証明書による絶対的な確認は困難が伴うことにより、現場の立ち合いを行なうことが必要でるが、その場合においても、データ抹消対象機器に対する専門的な知識の所有が要求され、そのような立会者を用意することには困難が伴う。

  • 2019年に発生した神奈川県庁データ漏洩事故についての見解書を公開

    【2019年発生の神奈川県庁データ漏洩事故についての見解書を公開】

    2019年に発生した神奈川県庁データ漏洩事故について、その発生から本インシデントを踏まえての今後の対策などを見解書としてまとめています。

    タブロイド紙をダウンロード
ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!
ワンビは情報漏洩対策の専門家です。
テレワークPC紛失・盗難時の情報漏洩防止と
第三者データ消去証明にご興味がありましたらこちらから!

あわせて読みたい