「対岸の火事」ではないブロードリンク事件 企業が意識を改めなければ情報漏洩が起きる
日本で日増しに新型コロナウイルスの感染が拡大する最中の3月26日、ある企業がひっそりとプレスリリースを出した。
「当社の経営改革と盗難ハードディスクに関する調査・回収について」と題したA4で5枚分の文書を公表したのは、神奈川県庁の内部情報流出事件を起こした情報機器リユース会社、ブロードリンク(東京都中央区)だ。2019年9月号の月刊『経団連』には新会員として紹介されており、「機密情報が詰まった情報機器のデータ消去技術と安全に取り扱う回収技術を磨き(中略)、防衛省や最高裁判所、メガバンクなどを含め取り引き社数は約1万社であり、上場企業の約4社に1社はご利用いただいている」と記されている。
事件が起きたのは2019年12月のこと。神奈川県庁の行政文書を保存したハードディスク装置(HDD)がインターネットオークションサイトに出品されていたことが通報から判明する。調査の結果、神奈川県庁に情報機器をリースしていた富士通リースからデータ消去・破壊を委託されていたブロードリンクの従業員(2019年12月6日に懲戒解雇)が、データ消去前のHDDを盗難し、ネットオークションで転売していたことがわかった。
流出が発覚したHDDには、神奈川県庁の総務局、保健福祉局、教育局などの公開資料のほか、県民の個人情報など機微に触れる重要情報が含まれていたことから、大きな騒ぎに発展した。逮捕された元従業員は、2020年2月から始まった公判で「売却目的で犯行に及び、オークションサイトで利益を得ていた」とする検察側の起訴内容を全面的に認めている。
情報漏洩につながった落ち度
情報漏洩に至る最大の原因は元従業員が社内からHDDを持ち出したことだが、神奈川県庁、富士通リース、ブロードリンクにも落ち度があった。
神奈川県庁は重要情報が入ったHDDを、十分な暗号化やデータ消去を行わずにリース会社(実際の受け取りはブロードリンク)に返却し、契約上では明記されていたデータ消去作業の完了証明書を要求していなかった。富士通リースもデータ消去・破壊処分の委託先(ブロードリンク)の管理ができていなかった。
そして、ブロードリンクは引き取った情報機器の入荷、消去・破壊、出荷などの管理が甘かったため、従業員の機器持ち出しにつながった。盗難され転売された記憶媒体は3904個にのぼり、ブロードリンクが回収できているのは29個(神奈川県庁、警視庁の回収分を除く)に止まる。
ブロードリンクが3月26日のリリースで強調したのは、再発防止策の徹底だった。専用の破壊器を使ったHDD物理破壊時の写真撮影の徹底(従前はオプションサービス)をはじめ、処理室への入退室管理の強化として、金属探知機での身体チェックや手荷物検査などを2020年3月から導入。セキュリティーカメラも64台へと倍増させ、4月下旬からはデータ消去のライブ動画を配信するサービスも開始するという。