事故から学ぶ

個人情報入りHDD流出 高知県、中古店で県民購入

事故概要

業種 地方自治体
発生時期 不明
漏えい人数 未発表
事故概要

高知県は25日までに、職員が作成したとみられる個人情報のデータが保存されたハードディスクドライブ(HDD)1個が県内の中古部品販売店で売られていたと発表した。購入した県民から「個人情報が保存されている」と指摘があり発覚。生活保護受給者の氏名や住所などが記録されており、県が流出の経緯を調べている。
県はデータの外部流出は確認されていないとしている。データは、2003年ごろに作成されたとみられるが、職員は特定できていない。
購入した県民は数年前に中古部品販売店でHDDを2個手に入れた。このうち1個に個人情報が記録されていることに気付き、今月22日に県内の自治体に問い合わせた。
県では通常、HDDを廃棄する際、物理的に破壊するかデータを消去するとしている。
県は、HDDに記録されていた個人情報の人数やデータ量、県庁で使われていたものかどうかなどを詳しく調べる。

引用元 日本経済新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 作業ルールの徹底(廃棄・誤廃棄防止)

チェックリストにある要求ルール:

重要情報を廃棄する場合は、書類は細断したり、データは消去ツールを使ったりするなどのように、重要情報が読めなくなるような処分をしていますか?
廃棄した記録を取っていますか?
廃棄対象外の書類や情報が混ざっていないか、台帳と照合するなどの方法で確認していますか?確認はダブルチェックしていますか?

■ 推奨対策

対策:

神奈川県で発生した破棄HDDの盗難事故以後、購入者側でデータ復活を試みる事案が起きているが、本件も購入からデータ発見まで年単位の時間がかかっているため、その事案のひとつと思われる。
今後はデータ消去とHDDを破壊してから廃棄業者に渡す手順に変更すべきであろう。廃棄業者が信用できないという一語に尽きてしまうのが実態である。

具体例:

HDDやUSB、パソコン本体などの破棄は物理的な破壊を行わないと、データが復元できる可能性がある。
個人なら一度に多くても1-2台だが、事業者になると数百台、数千台になる。パソコンであれば数年に一度は更新することになるので、大量廃棄時に自社での物理破壊をどうするか検討を始めておく必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。