世界でも稀に見る個人情報漏洩事件が日本の神奈川県で発生してしましました。
行政が国民の納税情報など保存していたハードディスクのデータ廃棄を請け負った『ブロードリンク』なる業者の一社員が、そのHDDをオークションに転売、購入者がデータを復元⇒通報し明るみになった次第です。またブロードリンクは防衛省なども取引相手にしていてため危機感を抱いている方もいます。※ブロードリンクの榊彰一社長は責任をとって辞任
【納税記録のHDD 転売され流出】https://t.co/g4x0Lme1Z0
納税などに関する個人情報や秘密情報を含む神奈川県庁の行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され流出した。消去から廃棄までを請け負った業者の社員が、転売に関与。
— Yahoo!ニュース (@YahooNewsTopics) 2019年12月5日
【納税記録HDD流出 別件も発覚】https://t.co/6ry2uJsdT0
神奈川県庁の行政文書が蓄積されたHDDが外部に流出した問題で、データの消去や廃棄を請け負った企業は、男性社員がこの問題とは別のHDDを持ち出したとして、窃盗容疑で被害届を出すことを明らかにした。
— Yahoo!ニュース (@YahooNewsTopics) 2019年12月6日
案の定別件も発覚し、ブロードリンクの情報流出社員は窃盗容疑で被害届を出されています。
落札者は購入したHDDのデータを復元した理由を「安全のため」と言っていますが、一般的に中古のHDDやSSDを購入してデータを復元せんとするのは個人情報の入手を狙った輩が多いです(HDDは故障しやすいパーツなので普通は中古で買わない)。PCには様々な情報が入っているので庶民でもデータの廃棄に関しては細心の注意を払う必要があります。
行政からの依頼を業者が横領し転売、更に復元もされてしまうというのは、日本国民としても社員としても自覚がないんですかね。厳しく処されるべきでしょう。恐らく支払いきれない額の損害賠償請求を受けると思います。
事件概要 行政⇒富士通リース⇒ブロードリンク
問題の社員は犯罪者なので一番の悪人(名前は高橋とだけ報道)ですが、データの性質上流出の可能性を排除する体制を作らなければいけません。そういう意味では犯人男性以外にも多少の責任はあるでしょう。
今回の流出に関与しているのは、「神奈川県」「富士通リース」「ブロードリンク」です。
サーバ交換にあたり、初期化して引き渡しをし、再現不可能とするべく処理を委託、委託先のブロードリンク社員がブロードリンクから窃盗して販売。県、富士通リース、ブロードリンク(契約違反及び窃盗)と三者が関わる問題。ブロードリンクはクソ pic.twitter.com/y6e9bUErdA
— レイン村正 (@muramasanico) 2019年12月6日
神奈川県が富士通リースから共用サーバーを借りてデータを保管、交換時期になったため富士通リースがブロードリンクにデータの廃棄を委託、という構図です。
つまり今のところ神奈川県とブロードリンクの直接的な接点はありません。今後3者の間で責任の擦り付け合いが始まるかもしれません。
富士通リースは
破壊して作動しないようにしてから廃棄するか、データを完全に消去
と指示していたようです。本来であれば廃棄だけを指定するべきだったように思いますが、企業としてはコストを考えるとそういうわけにもいかないのでしょう。
HDDの所有権は富士通リースにありますので、神奈川県にHDDを破棄する権限などはありません。とはいえ重要なデータですので、委託企業の選定は慎重にするべきでした。
犯人となった男性社員だけでは支払いきれないので、富士通リースとブロードリンクは損害賠償請求で倒産してしまうかもしれません。
仮に画像を添付したメール1通を3メガバイトとすると、900万通に相当する。神奈川県が調査を続けているが、情報流出の事案としては世界でもまれな規模に上る可能性がある。…との事❗️
— コキリコ (@XU438) 2019年12月5日
HDDは計9個、27テラバイトと世界的にみても稀な膨大なデータの流出事件です。神奈川県はやっちまいました。
なお復元されたデータの中に行政の管理していた重要な情報があったのかまでは分かっていません。※HDDには税金滞納者の詳細な情報や発電所の設計図などが入っていたそうです。ちなみにHDDは計18本なので残り9本はいまだ行方が分かっていません。
ブロードリンクの取引相手 社長インタビュー
防衛省や最高裁を取引相手にしていました。
世界最悪級の情報流出をしでかしたブロードリンク、主要取引先がやばすぎる・・・ pic.twitter.com/hl13XuEkgf
— トニー太田 (@Nyto_vd) 2019年12月6日
防衛省のどのようなデータを取り扱っていたかは分かりませんが、外国から狙われてもおかしくない企業です。単純な利益目的だけではなく、スパイ容疑を疑う声もありました。
ブロードリンクの評判
神奈川県庁の行政文書が蓄積されたHDDを、廃棄を依頼された業者のブロードリンク社員がこっそりネット転売して大量流出した件、会社の口コミサイトを見ると「さもありなん」という感想しか出て来ない。 pic.twitter.com/5aKxavIEi0
— 単眼愛(モノアイ) (@mono_i_love) 2019年12月6日
口コミサイトでは以前から評判イマイチでした。また自社HPでは「確実な完全データ消去」「世界標準規格に準拠」とアピールしていたそうです。完全に誇大広告になってしまいました。
社長 榊彰一のインタビュー
ブロードリンクの社長は榊彰一氏で、会社を立ち上げたあと過去のインタビューで以下のように発言しています。
「でもね、これも今となっては笑い話なんですが、私はセキュリティのことは何もわかっていなかったんですよ。それで『大丈夫です。データを画面にある〝ゴミ箱〟に入れて削除すればよいんでしょう?』なんて答えてしまったものだから大変で」
富士通リースとは別会社に営業に行った際の、当時は楽しい失敗談として披露したんでしょうが、今となっては杜撰な体制の原因の一つでは邪推してしまいます。※12月9日の会見で辞任する意向を明らかにしています。
マイナンバーも漏れた?損害賠償額は…
納税情報とのことなのでマイナンバーが漏れてしまった可能性もありそうです。
おれの予想だと、個人情報を流出させた役人は一切なんの責任もとらないまま下請けのせいにして終わりだと思う。マイナンバーの情報が流出してもそうなる。罰則強化の立法をしてないから緊張感がない。こうやって一方的に国民だけが被害に遭う/神奈川県、行政情報に大量流出 https://t.co/2LlyitcKPq
— 渡邉正裕 (@masa_mynews) 2019年12月6日
マイナンバーが含まれていれば数千億円の損害賠償額となってしまうかもしれません。以前ベネッセで起きた情報漏洩事件では被害者側からの損害賠償請求裁判も起こされています。
【ベネッセ流出 1789人が提訴】ベネッセの顧客情報流出事件で、全国の被害者1789人が提訴。1人当たり5.5万円の損害賠償を求める。 http://t.co/BpjyCImJ70
— Yahoo!ニュース (@YahooNewsTopics) 2015年1月29日
神奈川県の人口は約900万人、少なく見積もっても4000億円ぐらいですかね。とんでもないことになってしまいました。
ネットの反応まとめ
世界最悪級の流出がトレンド入りしてるからてっきり外国のどこかが国民のデータを流したのかと思ったら神奈川県のことだった
— 関東管領れー丸 (@wara_5568) 2019年12月5日
これ意図的に出品したら、産業スパイの可能性が高いと思う。いい加減、スパイ防止法を作らないといけないのにスパイ防止法と聞くとやたらと拒否反応する連中(特に特定野党、マスコミ関係者)が多い。
— fn-06 (@fn_06) 2019年12月6日
最近の神奈川県って酷いですね…
これといい、川崎市の日本人のみ罰せられるヘイト条項の件といい…普通に暴力事件も多すぎるし。— おとしんまる (@Otocinclus_ex) 2019年12月6日
ずさんすぎる。
「いや、これはバックアップデータだから行政文書じゃない!」とか、また無理な言い訳をしだしたりして。
— Akira Agata (@agata0) 2019年12月5日
経済が下がると、ろくでもないのが、増える人間社会
この7~8年で、本当に増えた— Gon.G (@BeUmigami) 2019年12月5日
この男性に桜の会の名簿復元を依頼すれば良いのにね😆
— MISSATTO (@misaalacarte) 2019年12月5日
富士通リースも問われる事になるが。
神奈川県が一番悪い。でも責任を押し付ける。
仮に色々な契約をするのだろうけど、
流出した後の責任関係で、後の祭りで流出しないことを依頼元が施した上で外部に依頼しないといけない。
神奈川県が悪い。
— tsuka soul to soul (@tunyan) 2019年12月6日
とんでもない事件。買った人がまともなのがわずかな救いだが、転売前に中身のデータがコピーされてない保証はない。
— Excite life (@TexciteLife) 2019年12月6日
HDDの消去は業者に頼まず、自らPCから取り出し万力や大ハンマーで潰した方が漏洩は防げる
— ポンプ (@Thalhala) 2019年12月5日
中古を購入したIT企業経営者も復元を試みる必要はないし、その結果を神奈川県でなく新聞社に売る必要もない。
経営者なら流出したら困るだろうなと適切に行動できたのでは?恩というか信頼を得て公共事業を受けれればそれも良いし。
— すぎたん (@growweb_Music) 2019年12月5日
これはひどいね(´;ω;`)
でもIT経営者は何故に朝日新聞にわざわざ言うのか…
まずはブロードリンクと県庁に厳重抗議する内容では(´・ω・`)— エターナる飯テロちゃんおいしい13店 (@eirnep_headman) 2019年12月5日
しょっちゅう流出してるけど、罰せられたって聞いたことがない。「悪用されていない」とかニュースで言ってるけど、普通に考えてすぐに利用するわけ無いでしょうが😤
— ツインターボ🐎 (@Siamesecatmeow) 2019年12月5日
普通ですと委託業務契約の中に廃棄と合わせてデータを初期化なりするよう盛り込むんですよ
F外失— 陽じゅ꧁(* ॑꒳ ॑🎀)꧂ピョンピョン (@SSurrior_) 2019年12月6日
この業者さん、プライバシーマークかISO27001を取得しているんだろうか。産業廃棄物業者の山林投棄と同じ事になる。情報についても、行政機関の許可証とマニュフェスト起票を義務付けるべき。
— snowplow (@snowplow28) 2019年12月6日
常習犯だな
— キータ@浜の虎党 (@HaMaToRa7610) 2019年12月6日
データ破棄はどうすれば安全か
HDDの物理破壊がトレンド入りしていました。
HDD転売トレンド入りで、物理破壊トレンド入りは草。そうだね、燃やすのが一番だね🔥水に沈めて電気だね💡
— 風 (@kaze24) 2019年12月6日
HDDは物理破壊
— おなかがすいたオヤカタマン(12月くらいまで低浮上) (@zatta_zatta_man) 2019年12月6日
ハンマーなどで破壊するか、加熱処理、あとは電気による破壊方法などが安全なようです。割とすぐ故障する癖に手のかかる家電ですね。パソコンを捨てる時は心がけたいと思います。