「専務のツブヤキ」
~神奈川県庁からの大規模情報漏洩事件、ADECの出番か、及び補正予算~
2019年12月15日
CSAJ 専務理事 笹岡 賢二郎
12月6日の朝日新聞朝刊の一面は、神奈川県庁から大量の個人情報が漏洩しているとの記事でした。その中に 個人の税務情報、発電所の設計図など本来漏れてはいけない機微な情報が含まれていたのは驚き であり、その後、新聞でも続報、テレビのワイドショーでも詳しく取り上げられました。県庁側では、廃棄事業者を信用して任せっきりにしていたとのこと、ただ言い訳に終始しているように聞こえました。
一方、廃棄事業者は、不正を働いた従業員が、長年にわたり廃棄すべきHDD(ハードディスクドライブ)をネットオークションで転売していたことを見過ごし、気づいたのは、ネットオークションで落札した業者の方が、市販のデータ復元ソフトでHDDのデータの中身を見てその漏洩内容の重大性に驚き県庁側に通報してからでした。
これが記事のあらましですが、これを聞き、改めてCSAJが データ適正消去実行協議会(ADEC) の基準に基づいて発行しているデータ適正消去実行証明書の必要性を痛感するとともに、もし、 神奈川県庁がサーバーのHDDを廃棄する際に廃棄事業者にCSAJが発行している第3者による消去証明書の取得を義務付けてさえいれば と悔やまれてなりません。というのも、そうしていたなら不正な転売がされたとしても、 既に消去証明書さえ発行されていればHDD内の情報が消去済みですので、情報の漏洩は起こらなかった からです。その意味で誠に残念な事件という他ありません。
県庁側はHDDの初期化はしたと言っていますが、「初期化」というのは、消去ではありません。データというのはファイル毎にある種の旗を立ててHDD内に保管されています。旗は、情報の書かれている領域を示し、上書きされないようにデータを守る役目をしていますが、初期化というのはその旗を外すだけですので、その上から新たなデータがどんどん上書きされればいずれ全て消えてしまいますが、その間は元のデータは残ったままです。従って、 初期化だけでは市販のデータ復元ソフトを使えば、(その後上書きされていなければ)元のデータは簡単に復元できてしまいます 。
一方、 ADECの認証受けた消去ソフトで消去を実行すれば、全ての領域を上書きしてしまいますので、もう市販のデータ復元ソフトでは元に戻せません 。認証されたソフトで消去すれば、廃棄事業者は消去作業が正常に終了すればCSAJの証明書発行サーバーにその旨知らせますので、適正な消去作業が完了した旨の電子証明書を受け取ることができます。この証明書は、HDD毎の製造番号も表示されますので、この証明書があれば当該HDD内のデータは市販のソフトでは復元できない状態になっておりますので、情報漏洩の心配はなく安心することができます。
今回の事件は、少なくとも県庁を始めとする 個人情報等の機微な情報を扱う公的機関では、廃棄事業者に対して、必ず第3者による消去証明書の取得を義務づけることが必要 であることを明らかにしました。今後とも、CSAJとしては内閣サイバーセキュリティセンター(NISC)を始めとする関係の諸機関に、機微な個人情報等を扱う公的機関においては情報機器の廃棄等に当たっては第3者によるデータ消去証明書の取得を義務付けるよう一層働きかけていかなければと思った次第です。
12月13日に令和元年度補正予算【26兆円程度】が閣議決定されました。中身は3本柱になっており、①災害対応【7.0兆円】、②経済の下振れリスク対応(消費増税対策)【7.3兆円】、③未来への投資【11.7兆円】となっています。特に、②で中小企業の対して「 生産性革命推進事業(仮称):3600億円 」が創設されています。いわゆるIT導入補助金は、モノづくり補助金等とともにこの中の内数となっています。また、働き方改革、賃上げ、インボイス導入などの相次ぐ制度変更が複数年度にわたることから、 中小企業基盤整備機構が複数年度に渡り支援できる制度 となっており、CSAJの要望が叶った内容となっています。また、③では、文部科学省の予算ですが、 小中学校に一人に一台の情報端末の予算(2000億円超) が認められました。恐らく、これも複数年度に渡り執行されていくものと思われます。
筆者略歴
笹岡 賢二郎(ささおか けんじろう)
1961年生まれ、1983年に通商産業省(現経済産業省)入省、機械情報産業局電気機器課、科学技術庁、資源エネルギー庁、立地公害局、防衛庁、工業技術院、基盤技術研究促進センター、JETROクアラルンプールセンター、文部科学省、四国経済産業局などの勤務を経て、2005年7月より新エネルギー・産業技術総合開発機構(NEDO)、2007年7月より九州経済産業局地域経済部長、2009年7月より中小企業基盤整備機構の業務統括役兼総務部長、2011年7月独立行政法人情報処理推進機構の参与兼セキュリティセンター長などを経て、2013年7月から東京工科大学にてコンピュータサイエンス学部 コンピュータサイエンス学科教授、片柳研究所所長、工学部 電気電子工学科 教授兼コーオプセンター長。2016年6月に一般社団法人コンピュータソフトウェア協会専務理事に就任。