神奈川県がリースしていたサーバのハードディスクが,リース終了後にネットで販売されてしまっていた問題で,後日談のような記事が出ていました。
どんな問題だったっけ?
神奈川県が富士通リースからサーバをレンタルしていました。レンタル期間が終了したので,神奈川県は富士通リースにサーバを返却しました。富士通リースは,ブロードリンクにハードディスクの廃棄を委託しました。ところが,ブロードリンクの社員がハードディスクを自宅に持ち帰り,ネットで販売してしまいました。
これがこの事件の概要です。
おそらく,神奈川県も富士通リースもハードディスクの処分方法について,文書で規定されていて,各担当者はその通りに業務を遂行したのだと思います。ところが,ハードディスクを物理的に破壊する業者の管理が良くなかったせいで,従業員によるハードディスク横領という内部犯行が行われてしまいました。問題なのは,委託元の神奈川県や富士通リースが,委託先で確実にハードディスクを破壊したエビデンス(証拠)を確認しなかったところなのだと思います。
後日談の記事
Security Nextに出ている記事では,ネットでハードディスクを購入してデータを復元した人が,復元データを破壊してくれたってことです。神奈川県がこの人に対して,データの破壊をお願いしていて,それを実行してくれたとのことです。これはこれでよかったのかな。
さらに神奈川県は,富士通リースに対して,今回発覚18本のハードディスク以外のハードディスクについてもデータ消去証明書の提出を要求しているそうです。そして,富士通リースはブロードリンクに作業報告書の提出を求めているようです。
後出しジャンケンは厳しい
上に書いたように,ハードディスクの処分方法については文書で規定があったと思われますが,規定通りに作業を行なっていなかったことが今回の事件の問題点であると思われます。(実際に取材して聞いたわけじゃないから正しいかは不明です。恐らくそういうことだろうなぁって推測です。)ですので,責任は発注元である神奈川県や富士通リースにもあるのに,それぞれが委託先に証拠を出せと言っているようです。言われた方は,証拠なんて残ってないんだから出しようがないというところが真相なのではないでしょうか。
事件が起きてから正論を振りかざしても,何の解決にもならないんだよって思います。