へっぽこヘタレシステム管理者の管理人です。
さて、たまたま管理人の異動のタイミングが悪かったのか・・・
職場のシステムの一括更新に巡り合ってしまい・・・
サーバー&クライアントの更新と廃棄に当たってしまいました。
以前であれば、リース物件なので・・・
機密保持契約を締結し、そのままリース会社に返却して、データを復元不可能な状態にしてもらうのですが・・・
2019年の神奈川県のHDD転売・情報漏洩事件により・・・
お国から、セキュリティガイドラインの改定があって・・・
HDDドライブは、自庁舎内で、職員立会のもとで破砕することが指示されております。
先週から、その破砕作業に付き合わされているのですが・・・
これが、とにかく時間が掛かります。
サーバー類であれば、台数も数十台ですし・・・
ハードディスクも、前面から取り外せる様になっていますので、それほど苦にもならないのですが・・・
問題はクライアントです。
ノートパソコン・デスクトップパソコン共に・・・
分解して、HDDを取り出してから、破砕する必要があります。
台数がとくかく多いですので・・・
とにかく分解して、HDDを取り出すのにやたらと時間が掛かります。
それから、ドリルで破砕するのですが・・・
こっちは、自庁舎内で設けた、作業場でその作業を・・・
ただ・・・ただ・・・監視しているだけです。
何もない部屋なので、仕事もできません。
神奈川県の転売事件のこともありますので・・・
とにかく目を離さずに見ている必要があります。
兎に角、苦痛な作業です。
最終的には、分解する前のパソコンの台数と、取り外したHDDの台数と、破砕したHDDの台数が合致することを確認しなければなりません。
セキュリティの関係で、写真が掲載できないのが残念ですが・・・
とにかく、パソコンと取り外したHDD等が、山の様な状況となり、見ているだけで、吐き気がしました。
さて・・・
確かに情報漏洩はあってはならない問題ですが・・・
だからといって、職員立会の元で、庁舎内で破砕というのは・・・
ちょっとやりすぎなんじゃないかなと思います。
本来は、機密保持契約に記載されており・・・
請負業務ですので、請け負った業者には、完遂責任がありますし・・・
万が一、不履行となれば、瑕疵担保責任となります。
つまり、請け負った業者が悪さをして情報漏洩問題を起こした場合は・・・
その請け負った業者の責任となるわけです。
リスクマネージメントとして・・・
- 回避
- 予防
- 軽減
- 転嫁
- 受容
がありますが・・・
請負契約により責任を転嫁しているとも考えられます。
確かに、発注者側にはそのような業者を選定したという責任があるかもしれませんが・・・
何らかの問題を起こして、指名停止になっている様な業者を除けば・・・
等しく、入札に参加する権利があるわけです。
別の話に例えれば、公共施設の建設で、業者が欠陥工事をしたと仮定するならば・・・
その欠陥工事を行った業者が責任を追及されるわけです。
これが、情報漏洩の場合に限っては、何故か請け負った業者よりも・・・
発注者側に過大な責任を追及されている様な気がしてなりません。
神奈川県の情報漏洩事件の場合は、さらに下請けがからんでいますので・・・
尚のこと元請けが責任を負うべきです。
神奈川県の情報漏洩事件の場合は、元請け業者ととりあえず和解が成立している様です。
損害賠償請求額の約4千万円から再発防止対策費用の約1.7千万円を差し引き・・・
約2.3千万円の和解金額で合意しと掲載がありました。
神奈川県情報漏洩事件の和解についてはこちらに詳細が掲載されています(リンク切れ)
再発防止対策費は何か見てみると・・・
現行の契約を見直して【職員が立ち会いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行うことが中心】とのことです。
これで、前例ができてしまったので・・・
どうしようもないのかもしれませんが・・・
これが当たり前となると・・・
いったい【請負契約】の【完遂責任】ってなんなんだと・・・
考えずにはいられません。
この問題は、完全に請負者側の管理責任の問題であり、損害賠償を支払って手打ちというところが妥当な気がするんですよね。
にもかかわらず、再発防止策として・・・
【職員が立ち会いのもと、データ記憶装置を物理破壊させる】
ということが、 オマケとして付いてきたわけです。
掛かるコストを考えると・・・
なんでもかんでも【リスクゼロ】を求める風潮はどうかなと思います。
コメント