神奈川県の行政文書を保存するサーバーのハードディスク(HDD)が転売され、個人情報が流出した。
氏名や住所を記載した自動車税の納税記録、法人名を記した税務調査後の通知などが含まれていた。税の情報は個人のプライバシーに直結するだけに、極めて深刻な事態だ。
HDDは、データ消去を請け負った会社「ブロードリンク」の社員が社内から無断で持ち出し、オークションサイトで転売したと認めた。
県がデータを見えなくする「初期化」を施しただけで、復元可能な状態だった。流出による具体的な被害は確認されていないものの、転売されたHDD18個のうち9個が回収されていない。
この社員は社内から別のHDDを盗んだ容疑で警視庁に逮捕された。ブロードリンクは、社員が入社した2016年2月以降、3904個もの記憶媒体をオークションサイトに出品していたと明かした。持ち出しが常態化していたとすれば悪質で、会社のずさんな管理にもあきれる。
まず肝心なのは、流出に伴う被害の防止だ。ブロードリンクは、官公庁や自治体、大手IT企業、銀行と取引していたという。神奈川県と同様の流出も懸念される。警察は全容解明を進め、ブロードリンクも防止対策に努めなければならない。
HDDのデータは、簡単には消せない。完全消去には、物理的に壊すか磁気による破壊が必要になる。
神奈川県は、サーバーを「富士通リース」から借りた際の契約で、返却後はHDDのデータを復元できない状態にするよう求めていた。
しかし、実際の消去作業を把握しておらず、消去の証明書も受け取っていなかった。行政文書を暗号化して、容易に見られないようにする措置も取っていなかった。
公権力で収集した情報について、行政は公文書として厳格に管理していく責任がある。今回の神奈川県の対応は、結果的に甘かったとのそしりを免れない。
総務省は全国の自治体に対し、廃棄時に職員が立ち会うように通知した。こうした措置は当然だろう。
大量の情報を蓄積できるデジタル化の新たなリスクが浮き彫りになった。データ管理の死角を認識して、早急に対応しなければならない。
