スポンサーリンク

999_その他

神奈川県庁の情報漏洩!サーバーHDD転売!責任は誰にある?

神奈川県庁から納税などに関する大量の個人情報や秘密情報を含む行政文書が蓄積されたハードディスク(HDD)が、ネットオークションを通じて転売され、流出(情報漏洩)していた事が報道されました。

情報の流出経路は次のとおりの様です。

富士通リース

神奈川県庁
(サーバーを富士通リースからリース)

初期化

ブロードリンク)
(富士通リースが物理的破壊を指示)

社員持出

ネットークション

責任の所在は誰にあるのか・・・?

「リース契約の内容」や「情報の消去に関する業務委託契約」等がどの様な内容になっていたかにより、法的な責任の所在が変わってくる可能性があります。

リース契約とは・・・?

リース契約には大きく分けると2種類あります。

一つは「ファイナンシャルリース」であり

もう一つは「オペレーティングリース」です。

ファイナンシャルリースとは・・・?

ファイナンシャルリースとは、リース会社がユーザーに代わって物件を購入し、貸与するファイナンス(金融)取引の事をいいます。

さらに「所有権移転ファイナンシャルリース」と「所有権移転外ファイナンシャルリース」に分けられます。

「所有権移転ファイナンシャルリース」の場合は、リース期間満了後に所有権が移転します。

分割払いで自動車等を購入する場合と似ています。

「所有権移転外ファイナンシャルリース」の場合は、リース期間満了後に物件をリース会社に返却する必要があります。

引き続き物件を使用したい場合は、再リース料や買取費用を支払う必要があります。

オペレーティングリースとは・・・?

オペレーティングリースとは、リース期間が満了後に物件の中古市場性が見込まれる場合に設定される貸与となります。

リース会社は、リース期間が満了したらユーザーから物件を回収し、さらに別のユーザーに再リースしたり、中古市場で販売します。

役所のリース契約はどっち・・・?

管理人の知る限りでは、役所が契約するサーバー機器やパソコン等のリース契約は、その多くが「所有権移転ファイナンシャルリース」です。

ですので、リース期間満了後は所有権が役所に移転します。

法定耐用年数は「サーバー機器が5年」・「パソコンが4年」ですが、役所の多くは財政的な事情で、法定耐用年数の「5年又は4年」で更新する事はなかなかできないのが現実です。

この為、多くの役所が「所有権移転ファイナンシャルリース」を利用し、概ね6~7年程度の期間を使用しているのが現状です。

この場合は、契約書の名称も「賃貸借契約書」となっており、契約書内に期間満了後に「所有権を移転すること」が明記されています。

多くの場合リース期間は、60カ月に設定されています。

あくまで管理人の予想ですが、神奈川県庁のサーバーリースも恐らく「所有権移転ファイナンシャルリース」だったのではないかと想定しています。

結局情報漏洩の責任は誰にあるの・・・?

「所有権移転ファイナンシャルリース」により、所有権が神奈川県に移転されているのであれば、今回の件について「富士通リースは全く関係のない第三者」となります。

報道では、「神奈川県庁がHDDを初期化してブロードリンクに引き渡し、富士通リースがブロードリンクに対して、HDDの物理的破壊を指示している」となっています。

ここで管理人的に違和感を感じるのは・・・

「所有権移転ファイナンシャルリース」により所有権が、神奈川県に移転しているのであれば、富士通リースからブロードリンクに指示する権利も義務もありませんし・・・

「所有権移転外ファイナンシャルリース」により所有権が、神奈川県に移転していないのであれば、神奈川県から直接ブロードリンクにHDDが渡る事が無いのではないかという事です・・・

つまり「所有権移転外ファイナンシャルリース」であれば、本来はリース期間が満了したら、一端「富士通リース」に返却する必要があります。

但し、「残存価値が無い」ということで、「所有権移転外ファイナンシャルリース」であっても「富士通リース」が返却を受けずに直接廃棄する場合もあり得ます。

ややこしくなってきたので、改めて整理します。

「所有権移転ファイナンシャルリース」の場合

神奈川県庁に所有権が移転しているので、神奈川県庁とブロードリンクの業務委託契約上の問題(HDDの物理的破壊・機密保持)となります。

業務委託契約上では、当然HDDの物理的破壊や機密保持が明記されていると考えられるので、この場合はブロードリンクの債務不履行であり全ての責任はブロードリンクとなります。

HDD内のデータは、いつでも抜き取る事(複製)が可能ですので「物理的に破壊されるまで職員がずっと張り付いて見張る事は現実には不可能」です。

この為「物理的破壊状況をチェックしない県庁に責任がある」と言うのはかなり酷であると考えます。

今回はサーバーのHDDであった為、数は限られますが、これがクライアントの場合、都道府県であれば数千台の規模となります。

クライアントに記憶装置を持たない「シンクライアント」であれば、サーバーのHDDのみを物理的に破壊すれば済みますが「シンクライアント」は現実的にはそれほど普及しておらず、多くの官公庁や企業者が「リッチクライアント」を使用しています。

「リッチクライアント」であれば、各クライアントのHDDに必ず業務データが残りますが、その全てのHDDの物理的破壊に立ち会うのは、現実的には無理だと考えられます。

HDDの物理的破壊や機密保持については、本来は契約上担保されるべきです!

神奈川県は今回の再発防止策として「リース会社に返却する際には職員が立ち会って物理的破壊をすることを明記する」と公表しましたが、現実的に不可能でしょう・・・

何故なら、民間のデータセンターを活用したBCP(事業継続)サービスを利用している官公庁や企業がある中で、その全てを監視下に置いて管理する事はできない為です。

「所有権移転外ファイナンシャルリース」の場合

「富士通リース」とのリース契約上、リース期間満了後のHDDの取り扱いについてどのように記載されていたかが問題となります。

リース契約上、HDDの破壊や機密保持が記載されていないのであれば、リース期間満了後にHDDをどうしようが、理屈上は「富士通リース」の自由となる為、神奈川県庁の責任となります。

しかし、現実的にはこれは考え難く、HDDの破壊や機密保持が契約上担保されている筈なので「富士通リース」の責任(債務不履行)となります。

「神奈川県庁」の契約先はあくまで「富士通リース」である為「富士通リース」の再委託先の管理上の問題です。

県民から損害賠償請求された場合は・・・

県民から損害賠償が請求されれば、

「神奈川県」が賠償責任を負い、

「神奈川県」が被った損害を「富士通リース」に求償することとなり、

「富士通リース」が被った損害を「ブロードリンク」に求償することとなります。

但し、「富士通リース」が被った損害を「ブロードリンク」に求償する事ができるかどうかは「富士通リース」と「ブロードリンク」間の契約内容よりますが・・・

常識的に考えれば、「富士通リース」は「ブロードリンク」と業務委託契約(再委託契約)を締結しており、当然その中で「HDDの物理的破壊と機密保持」について明記されている筈です。

結局は、コンプライアンス違反である「ブロードリンク」の責任であると考えられます。

スポンサーリンク

データの暗号化について

情報セキュリティの話をし出すと、必ずデータの暗号化というキーワードが出てきます。

例えば、外部に持ち出すパソコンや外部記憶装置(USBメモリ等)については「置き忘れ」や「盗難」に備えて、情報を暗号化しておく等です・・・

今回、神奈川県庁のサーバーのHDDが暗号化されていなかった事についても避難されている感がありますが、サーバーのHDDを持ち出す事は、通常想定しませんし、サーバー室への物理的なアクセス制限も考えると、盗難も想定し難いです。

確かに、暗号化しておけば理想的ですが、暗号化や複合化に掛かる処理速度を考慮すると必ずしも全てにおいて、暗号すべきとは言えない場合があると思います。

例えば、日本データセンター協会が制定する「データセンターファシリティースタンダード」を確認しても「データの暗号化」までは要求されていません。

「データセンターファイシリティースタンダード」は、あくまで施設や設備の可用性や稼働率の基準である為、OS(オペレーティングシステム)よりも上位で動く暗号化ソフトにまで、言及すべきではない事ですが、応答時間や処理時間まで考慮すると、 SLA(サービスレベルアグリーメント)上の課題が出てきます。

暗号化して尚且つSLA上の応答時間や処理時間まで上げようとすると、それだけサーバーに要求されるスペックが上がりますので、当然ですがコストも上がります。

本来であれば、セキュリティ対策はリスク評価に基づいて、費用対効果を考慮しながら為されるべきであり、契約上担保されるべき事にまで、費用を掛けて実施する事は本末転倒であると言えます。

これらの事から、神奈川県庁のサーバーのHDDが暗号化されていなかった事については、「暗号化されていれば理想的であったかもしれないが、暗号化されていなかったからといって責任を追及できる類のものではない」と管理人は考えます。

恐らく、多くの官公庁や企業でも「サーバーのHDDまで暗号化している組織」は少ないと思います。

まとめ

神奈川県庁のサーバーのリース契約が

「所有権移転ファイナンシャルリース」であれば神奈川県庁とブロードリンクの契約上の問題(債務不履行等)

「所有権移転外ファイナンシャルリース」であれば神奈川県庁と「富士通リース」の契約上の問題(債務不履行等)

追加情報:2019/12/06

リース契約の内容が「ファイナンシャルリース」か「オペレーティングリース」かは分かりませんが、「神奈川県庁」と「富士通リース」との間で、次の内容の契約が締結されていた事が分かりました。

両者はHDDの処分方法について「データが読み出せないように処分し、完了後は報告書を作成する」とする契約を結んでいた。

<ITMEDIA News>

さらに、その後「富士通リース」が「ブロードリンク」に「HDDの物理的破壊」を委託(再委託)していた事が判明しました。

「富士通リース」の公式HPには、「ブロードリンクが警察に被害届を提出し受理」されたとの記載がありましたので、 「富士通リース」 と「ブロードリンク」の間には、適切に契約(HDD物理的破壊・機密保持)が締結されていたと考えられます。

しかし、「ブロードリンク」の従業員管理が適切に為されていなかったという事になりますので「社会的信用の失墜は避けられない」事でしょう。

また、「IT業界全体の信用を貶めた」とも言えると思います。

民間のデータセンターの活用という点で、ビジネス・プロセス・アウトソーシング(BPO)に悪影響を与えかねない大きな問題を起こしたという責任も大きいと感じます。

HDDの受け渡し経路については、次の2つの情報がありどちらが、正しいのかまだ定かではありません。

神奈川県庁→ブロードリンク

神奈川県庁→富士通リース→ブロードリンク

ブログランキングにご協力ください!
ブログランキング・にほんブログ村へ

追加情報:2019/12/08

若干あらたな情報が出ました。

まずHDDを転売していた、ブロードリンクの社員が窃盗で逮捕されました。

次に神奈川県庁の謝罪記事を見ていると次の一文がありました。

県は「物理的に破壊して消去するよう、富士通リースとの契約内容を見直したい」としている。

<SANKEI NEWS>

この情報をそのまま解釈すれば、「神奈川県」と「富士通リース」の間でリース期間満了後のサーバー機器の廃棄方法が明確になっていなかった(物理的破壊が明記されていない)ということになります。

この事から、リース契約が「所有権移転外ファイナンシャルリース」若しくは「オペレーティングリース」であったという事が想定されます。

リース期間満了後に、別途「HDDの物理的破壊や機密保持」について契約なり覚書なりを「富士通リース」と締結しれいれば良かったと考えられますが、この記事から、 「HDDの物理的破壊や機密保持」 を契約上担保できるような、書類のやり取りが「神奈川県」と「富士通リース」との間が為されていなかったと予測できます。

これは、事実であれば、神奈川県の致命的なミスとなります。

追加情報:2019/12/09

ブロードンリンクの元社員が、窃盗して転売した情報機器の累計が2016年から「7,844台」でその内「3,904個」がHDDやUSBメモリ等の記憶媒体であったと報道されました。

3年以上前からかなりの台数が盗難されていた事になります。

また、神奈川県のHPに「(情報システム課からのお知らせ)リース契約満了により返却したハードディスクの盗難について」と題した謝罪文が掲載されていました。

管理人が一番気になった点のみ転載します。

原因
盗難された原因は、富士通リースからデータ消去・廃棄作業を請け負ったブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが盗難可能な状態にあったことだが、県としてもデータ消去の履行確認が不十分であった。


今後の対応
再発防止策等
重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合は、従前より情報漏洩防止のため、県内部の初期化作業でデータを全て消去した後、リース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としている。
今後は、情報漏洩防止を徹底するため、契約満了時には、職員が立ち合いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行う。

<神奈川県HP>

原因については、HDDがブロードリンクの社員が盗難されたという点が記載されています。

また、再発防止策の中に「 リース会社がデータ復旧が不可能とされている方法によりデータ消去作業を行うものとするとしている。」という内容が記載されていますので、「神奈川県」と「富士通リース」との間で、HDDの処分方法について「物理的な破壊はともかくとして、少なくてもデータ復旧が不可能な状態にする」という契約があった事になります。

さらに、「ブロードリンクと富士通リースはデータ消去の完了時に完了報告書を提出する契約になっており、実際に神奈川県へ提出していた」とされています。

但し、「完了報告書は、作業が終わったことを単純に報告するものであり、データの消去を証明するものでは無く、報告書には破壊後のHDDを写した証明写真などは添付されない」との事でしたので、その完了報告書の内容は「HDDの物理的破壊を確認できるものでは無い為」不十分であったと言えます。

さて、現実的には、都道府県の事務職員が自ら電気ドリルを手に取り、HDDを物理的に破壊するというのは、なかなか困難であると考えられます。

管理人も実際にやったことがありますが、ノートパソコン用の2.5インチHDDならともかくとして、3.5インチのHDDは意外に頑丈に作られています。

叩きつければ、ヘッドはすぐに壊れてパソコン上はアクセス不能になりますが、磁気ディスク自体はハンマーで殴っても、地面に叩き付けても意外に割れません・・・

ドリルも鉄鋼用の刃が無いとなかなか貫通できないものです。

自身でやるには、それなりに設備もいりますし、知識と技術も必要となります。

毎日するならともかくとして、数年に1回の事でそれらの全てを自前で準備するには、無駄なコストとなります。

ですので、専門の業者に委託契約(請負契約)を締結して処理をお願いするのです。(請負契約には完遂責任があります)

神奈川県を非難する記事も見られますが、管理人的には、神奈川県は業務の履行確認に落ち度があったとはいえ、 基本的には被害者です。

契約どおりに履行しない業者が悪いのです!

また、ブロードリンクについては、「ISO27001」(ISMS 情報セキュリティマネジメントシステム)を取得しています。

当然ですが 「ISO27001」を取得するには、審査がありますし、定期的な監査も必要になります。

いったいこれらの審査や監査をどうやっていたのか・・・?

審査機関の目は節穴なのか・・・?

という疑問が純粋に湧いてきます。

「ISO27001」を取得しているということは、本来なら「情報セキュリティについて対外的に保証するもの」であるはずです。

これが根底から覆された事になります。

要するに「ISOなんて取得しても対外的になんの信用も無い認証である」という事が証明された事となります。

事実、 ブロードリンクは 完了報告書を提出したのにデータが消去されていなかったことについて「管理が甘く、HDDの破壊前と破壊後のチェックを行っていなかったことが原因だ」としていますので、定期的なセキュリティ監査なんてやっていなかったという事です。

少なからず最低限の監査を実施ていれば、3年以上もこの窃盗が続いたとは考えられません。

例えば、最も簡単な方法として、HDDを引き受ける担当と、破壊する担当を分けて、引き受けた個数と破壊した個数を最後に照合する(別人が個数チェックする)だけでも、この問題は発生しなかったでしょうし・・・

本来であれば、HDDの引き受けから破壊までのエビデンス(証跡)が残る様にすべきですし、「ISO27001」を取得しているのであれば、やっていて当然の事です。

この事件は「あまりにも社会的影響が大き過ぎ、またIT業界全体の信用を貶める重大な事件」と言えるでしょう・・・

今後の、HDD等の記憶媒体の処分方法がどの様に推移していくのかは、まだ分かりませんが、この事件のせいで、世間のシステム管理者の皆さんは「また余計な仕事が増えるのではないか・・・?」と心配されている事と思います。

追加情報:2019/12/12

地元の新聞でもこの問題が大々的に取り上げられました。

都道府県含め管内自治体のHDDの廃棄方法を確認した記事が掲載されておりまいた。

管内自治体でも対応はバラバラで、比較的小規模な自治体は、職員が直接物理的破壊をしておりますが、「規模が大きくなれば現実的に無理」との見解でした。

ある程度規模の大きな自治体では、業務委託を実施しているところが大半です。

証明書の提出も、自治体によって写真等のの貼付を義務付けているところや報告書のみのところとバラバラの対応でした。

しかし、共通の見解としては、書類はいくらでも改ざん出来る為、やはり信用問題であるとの事です。

管理人も同意見であり、やはり契約上の信用問題であり、契約上担保されるべきである事と考えます。

追加情報:2019/12/15

新たな情報が掲載されていました。

神奈川県の幹部が、重要なデータの消去を誰が実際に担っているのか確かめられない現状について次の様に語ったそうです。

「リース物件はそもそも富士通リースから借り受けたものであり、データが完全消去されるのであれば、どう処理しようがものを言える立場ではない」

上記の発言内容より、やはりリース契約の内容は「オペレーティングリース又は、 所有権移転外ファイナンシャルリース」であったという事になります。

また、神奈川県が富士通リースと結んだリース契約では、使用後のHDDについて「(富士通リース側が)データ復旧が不可能とされる方法で消去作業を行う」とされていたという事です。

しかし、実際にはリース元の富士通リースがデータ消去を自ら確認せずにブロードリンクに売却していたとの事です。

さらに、富士通リースは、売却先のブロードリンクに、県庁からの搬出や処分など処理を「丸投げ」していた事も明らかになりました。

神奈川県と富士通リース間のリース契約の内容には「データ復旧が不可能とされる方法で消去作業を行う」という事が明記されていました。

しかし、富士通リースがこれを実施せずに、ブロードリンクに売買契約を締結し売却していた事が明らかになった為、富士通リースの債務不履行である事が濃厚です。

富士通リースは「売却先のブロードリンクが責任を持って処理することになっている」とコメントしていますが、富士通リースとブロードリンクの契約内容がどの様になっていようが、それは、神奈川県と富士通リースの契約外の事ですので、富士通リースが責任を負うできです。

富士通リースは、神奈川県より2019年12月11日より3か月間の指名停止処分となった様です。

だんだんだと全容が見えてきましたが、富士通リースの処理がずさんであったという事となります。

ただ、神奈川県も被害者とは言え「富士通リースがブロードリンクとの間で売買契約を結んでいることを知らなかった」というのは・・・解せません・・・

システム管理者であれば、回収に来た者が富士通リースの者で無ければ、身分を確認し富士通リースにも確認する筈です。

この時点で、処分方法についても、富士通リース側に確認する筈(物理的破壊をするのか?・データ消去して再利用するのか?)ですので「知らなかった・・・」はかなり怪しいかと感じます。

どちらかと言えば、確認したけど「嘘を付かれた!」とういのが本当のところではないでしょうか・・・?


ブログ開設に必要なドメイン取得、サーバーレンタル、ASPの登録等は、こちらのサイトから!

スポンサーリンク
スポンサーリンク

-999_その他

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

氷河期世代の公務員採用試験!厚生労働省は140倍の狭き門!一方で人手不足の業界は敬遠されている!

2月2日厚生労働省の就職氷河期世代を対象とした試験が実施されたとの記事が掲載されていました。 定員10名に対して、1,436人が受験したとのことです。 また、12月25日から2週間程度の短い申込期間に …

40代から50代の転職事情! 実際のところは?人材紹介会社の社長に聞いてみた!

人材紹介会社の社長さんに聞いてみた! 知り合いに、人材紹介会社の社長さんをしておられる方がおられます。 その方は、非常に優秀な方で、いろいろな事に見識を持っておられますので、たまの機会にいろいろとお話 …

一般的なサージカルマスクでは新型コロナウイルスを防御する事は殆ど期待できない!感染者が着用してこそ感染拡大を防止できる!

さて、日本には風邪予防にマスクといった風潮がありますね。 ですので、マスクについて少し調べてみました。 病院に行けば、医療従事者もよくしていますので、とにかく悪い物が鼻や口から入ってくるのを防いでくれ …

役所はGW前の最後の勤務日!連休明けはどうなるのか?役所を閉鎖した自治体もあるが再開できるか?

さて、GW前の最後の勤務日となりました。 日本での感染者は、まだ増加傾向です。 全国民がGW中に不要不急の行動を控えれば、感染者が増加することはないかもしれませんが・・・ 恐らく、一定数外出者は増加す …

買い置きのマスクが無くなってきたが手に入らない!買えるのは日中に買いに行ける人だけ!仕事をしている人は買いに行けない矛盾!

管理には、年中体調が悪く、毎日マスクをしていましたので、買い置きがありましたが、そろそろその買い置きも底を付きそうになってきました。 国は、生産を増強しているといいますが・・・ まだまだ店頭に行っても …

スポンサーリンク
スポンサーリンク
スポンサーリンク