納税などに関する大量の個人情報が入った、神奈川県庁のハードディスク18個が、データの消去と廃棄を請け負った業者の社員によってネットオークションに出品され、外部に流出していたことがわかりました。すべて落札され、このうち９個は依然として回収できていないということで、県は業者に対応を求めています。

神奈川県によりますと、流出が確認されたのは、１つ当たりの容量が３テラバイトのハードディスク18個で、個人や企業の名前が記された納税通知書など、大量の個人情報を含む行政文書が蓄積されていたものもあったということです。

これらは県が東京のリース会社「富士通リース」から借り、県庁の各部署の情報を蓄積する共有サーバーに使用していたもので、交換のため、データを初期化して、ことし４月に返却していました。

「富士通リース」は、データが復元できないよう、データの消去と廃棄を情報機器の処分や再生を手がける東京・中央区の業者「ブロードリンク」に指示していましたが、担当した社員が、その処理をせずにハードディスク18個を持ち出し、インターネットのオークションサイトに出品していたということです。

すでに、すべて落札されていて、このうち９個を落札した人が復元ソフトで確認したところ、大部分のファイルは壊れていた一方、納税に関する個人情報を含むファイルがみつかったということです。

県によりますと、残る９個は３つのアカウントによって落札されていると言うことですが、まだ回収できていないということで、県は富士通リースに対応を求めています。

また、この男性社員のかばんからは別のハードディスクが５、６個見つかっていて、ブロードリンクは出品された18個と合わせて、６日、警察に被害届けを提出したということです。

請け負った業者と持ち出した社員は

神奈川県庁のハードディスクのデータの消去と廃棄を請け負ったのは、東京 中央区に本社がある「ブロードリンク」で、自治体以外にも防衛省や最高裁、大手銀行などとも取り引きがあるとしています。

会社によりますと、先週、外部から通報を受け、調査をしたところ、40代の男性社員がハードディスクを持ち出してネットオークションに出品したことが発覚したということです。

この会社では、パソコンやハードディスクはすべて東京 大田区にあるデータ消去施設に集められ、データの消去や情報機器を破壊する作業を行っていて、男性社員はこの施設で勤務していました。

ハードディスクなどが管理されている部屋は、指紋認証などのセキュリティー対策が取られ、退社の際には、抜き打ちで手荷物検査を行うこともあったと言います。

一方、この男性社員については手荷物検査を実施したことはなかったということで、会社の聞き取りに対して、社員は「売る目的で、複数回にわたり、かばんに入れてハードディスクを持ち出した」と話しているということです。

「ブロードリンク」の幹部は「セキュリティー対策を万全にやってきたので、これで大丈夫だろうという認識があったが、このような事態を招き、大変申し訳ありません。今後、施設から出る社員全員に手荷物検査を徹底するなど、再発防止策に努めていきます」と話しています。

また「ブロードリンク」は、社員による流出を受けて６日夕方、ホームページ上におわびと問い合わせ窓口を掲載しました。

この中では「当社従業員が不正行為を行っていた事実が発覚し、大量の個人情報データが流出した可能性があることが判明しました。関係者の皆様には、多大なご迷惑とご心配をおかけし、深くおわび申し上げます」と謝罪しています。

そのうえで対策本部を設置し、管理体制の強化など、再発防止に向けて取り組むとしていて、取引先に向けて、平日午前９時から午後６時まで対応する問い合わせ窓口の電話番号を掲載しています。

富士通リース「重く受け止め対応」

県にハードディスクを貸し出し、「ブロードリンク」にデータ消去や破壊処分を業務委託していた東京 千代田区の「富士通リース」は今回の流出を受け、会社のホームページに「ブロードリンクから警察に被害届けを提出し、受理されたと連絡を受けており、今後、警察の捜査に全面的に協力していきます」とコメントしています。

そのうえで「お客様、関係各位にご心配ご迷惑をおかけして、誠に申し訳ございません。このような事態を発生させたことを重く受け止め、真摯（しんし）に対応してまいります」としています。

知事が謝罪「確認不十分だった」

今回の流出を受けて、神奈川県の黒岩知事は「業者の管理体制に問題があったが、県としてもデータ消去の確認が不十分だった。今回のような事態を全く想定していなかった、県の体制に甘さがあったと言わざるをえない。自分の個人情報が含まれているかもしれないと、不安を感じている県民も多いと思う。心からおわび申し上げたい」と謝罪しました。

そのうえで「他の自治体などの先行事例も参考に、再発防止策をできるだけ早期に検討したい」と述べ、ハードディスクのデータを復元できないよう破壊する作業に、県の職員が立ち会うことなどを定めるよう、リース会社との契約を見直す考えを示しました。

県の契約内容は

神奈川県がハードディスクを借りていた富士通リースとの契約書では、返却したあとは富士通リース側が「復旧が不可能な方法でデータの消去作業を行うものとする」と定めていましたが、具体的な手法は盛り込まれていませんでした。

また契約書には、データの消去がいつ、どのような方法で行われたか証明する「証明書」を富士通リースが県に提出するよう定められていました。

今回流出が確認された18個を含む504個のハードディスクは、ことし４月に返却されましたが、証明書は提出されておらず、県は富士通リースに提出するよう求めていたということです。

官房長官「確認を行い、適切に対応」

菅官房長官は、午後の記者会見で「個人情報保護委員会において、神奈川県に対して事実関係の確認を行っているところと聞いており、必要に応じ個人情報保護法にのっとり、適切に対応されると思う」と述べました。

そのうえで、データの消去と廃棄を請け負った「ブロードリンク」が防衛省とも取り引きがあったことに関連し、菅官房長官は「現時点において、防衛省などで被害があったという報告は受けていない。関係機関において必要な確認を行い、適切に対応していく」と述べました。

総務省 復元不可能な状態の確実な確認要請へ

総務省は、神奈川県と同様の問題を防ぐための対策として、全国の自治体に対し、大量の個人情報が記録されたハードディスクなどの記録媒体を廃棄する場合は、データの復元が不可能な状態に確実にするよう求める通知を出す方向で調整を進めています。

具体的には、ハードディスクを物理的に破壊することなどが必要だと指摘したうえで、こうした作業に自治体の職員が立ち会うなどして、確実に廃棄が行われたか、責任を持って確認するよう求める方針です。

防衛相「防衛省も契約あり調査指示」

河野防衛大臣は閣議のあとの記者会見で「防衛省も平成30年度に、およそ40万円の契約があることが判明している。しっかり調査をするよう指示したところだ。このようなことが起きないように、対応させたい」と述べました。

東京都 委託先の企業に従業員への指導求める

東京都によりますと、都庁では、データが入った情報機器については、すべての情報を消去し、復元不可能な状態にしたうえで適切に廃棄しなければならないとした規定があるため、委託先の業者には消去結果の報告を義務づけているということです。

また、機密性の高い情報を扱った機器の廃棄にあたっては、職員の立ち会いのもとで消去を行うほか、最終的には物理的に破壊するとしています。

小池知事は６日の記者会見で、神奈川県のケースで廃棄を請け負っていた「ブロードリンク」との関係は「ない」としたうえで、「委託先の企業に対し、廃棄の現場や従業員への指導などを改めて求め、適切な廃棄を講じていきたい」と述べました。

埼玉県も「富士通リース」と契約

この問題に関連し、埼玉県では県庁内の複数の部局が神奈川県庁と同じ「富士通リース」からサーバーをリースしていることがわかり、県は庁内のすべての部局のサーバーの契約の状況などについて、さらに詳しい調査を始めました。

県では、ハードディスクの破棄がどのように行われていたかについても調べたうえで、早急に調査結果をとりまとめることにしています。

埼玉県の行政文書については、現段階で同様の流出は確認されていないということですが、県情報システム課は「業界の中では大手の業者であり、影響範囲がとても大きい。早急に調査結果を取りまとめ、対応を検討したい」としています。

千葉県「富士通リース」に報告求める

千葉県によりますと、千葉県庁も財務や給与などのシステムで、神奈川県庁と同じ「富士通リース」からハードディスクを含むサーバーをリースしていて、「富士通リース」に対して、これまでのハードディスクの破棄などに問題がなかったか、改めて報告するよう求めているということです。

現在のところ、千葉県の行政文書の流出は確認されていないということです。

千葉県庁でのハードディスクの破棄については、県庁内で職員が立ち会う中で、業者に物理的に破壊させるほか、県庁の外で破壊する際には、業者に対してディスクの製造番号がわかる状態で壊した写真を撮影し、提出するよう求めているということです。

ただ、中には物理的にディスクを壊さず、県庁の外で業者がデータを消去するだけの場合もあり、この際には、いつ、どのような形で完全消去したか、報告書に書かせるだけの対応となっています。

千葉県情報システム課は「今回の件を受けて、千葉県でもデータ流出のおそれがないよう、新たな対応を検討したい」と話しています。

茨城県も富士通リースと契約

大量の個人情報が入った神奈川県庁のハードディスクが外部に流出した問題に関連し、茨城県でも神奈川県庁と同じ「富士通リース」からハードディスクを借り受けていることが分かり、県は富士通リースに対し、今回の問題の事実関係を確認するとともに再発防止策を示すよう求めています。

県によりますと、富士通リースからは現在、ハードディスク４台をリースで借り受けていて、いずれも外部からのメールの添付ファイルにウイルスが含まれていた場合に、そのウイルスを無害化するための機器として、使用しているものだということです。

一方、過去に富士通リースから借り受け、返却したハードディスクがあるかどうかについては、確認中だとしています。

ハードディスクを返却したあとの取り扱いについて県は、富士通リースとの間で、一切のデータを消去して証明書を提出し、さらに物理的に破壊する場合には、その写真を提出するといった対応をする契約を文書で取り交わしているということです。

現在のところ、県の行政文書の流出は確認されていないということですが、県は富士通リースに対し、今回の神奈川県庁での問題の事実関係を確認するとともに、今後の再発防止策を示すよう求めています。

専門家「自治体や企業は、再度、対策を検討をすべき」

重要データのセキュリティーに詳しい、明治大学総合数理学部の菊池浩明教授は、今回の情報流出について「自治体が情報管理のコンプライアンスを高めているなかで、大量の情報流出が起きたことは大変残念で、恥ずかしいことだ。神奈川県という大きな自治体で、かつ専門業者も多い地域で、このような流出が起きたことは深刻で、より小さな自治体では、さらに心配な状況だ。データ廃棄の委託先が適切に業務を行っているか、調べ直す必要がある」と指摘しています。

菊池教授によりますと「ディスクから、ファイルが消えているように見えても、データ自体は残っていることがよく知られていて、データを組み合わせれば、ファイルを容易に復元できる」ということです。

そして、ファイルの復元を防ぐには「ディスクのすべての領域にデータを上書きしてしまうことが有効な方法で、専用のソフトを使えば比較的、簡単にできる」としています。

また、こうした措置については「専門性のある業者に任せることは妥当なことだが、ディスクを上書きした記録を提出させたり、ハードディスクを破壊する契約の場合は、その画像を提出させたりすることが有効だ」と話しています。

菊池教授は「今回は、たまたま専門家が見つけて悪用が防げたが、国民の重要な情報が闇のマーケットに出回ったら大問題だ。自治体や企業は今回の流出を受けて、再度、対策を検討すべきだ」と話しています。

行政データ流出 過去の事例は

これまでも、行政機関が処分したハードディスクなどから個人情報が流出するケースが相次いでいます。

このうち、おととし２月には、岐阜県美濃加茂市の教育委員会がパソコンを処分した際、ハードディスクに残っていた市内の中学校の生徒と教員およそ750人分の氏名が、ネットオークションを通じて外部に流出していたことが明らかになりました。

教育委員会がパソコンの処分を委託していた業者が、データを適切に消去していなかったことが原因でした。

その後、教育委員会は委託先の業者を変更し、データを処分する際には、必ず証明書の発行を求める再発防止策をとりました。

また、５年前には、鹿児島県日置市の職員労働組合が処分したパソコンのハードディスクに残っていた組合員ら500人分の個人情報が、外部に流出したことが明らかになりました。

パソコンの処分は、業者に依頼していましたが、データ消去に関しては、明確な契約までは結んでいなかったということで、当時、組合では「業者と処分に関する契約を結ぶなど、再発防止に努めたい」などとコメントしています。

このほか14年前には、千葉県の出先機関がパソコンを破棄した際、県の職員によるデータの消去が不十分だったため、県が管理する保有林の所有者、数千人分の個人情報が流出したケースなどがあります。