報道がこの後どういう方向にいくか私にはわかりませんが、某データ消去を請け負っている大手業者さんから従業員の手によって盗み出された顧客のハードディスクが長期にわたって転売されていて、なおかつ記録されている情報の復元が可能な状態であり具体的には神奈川県庁のサーバーで扱われていた重要な情報が発見されたとして報道されている案件はかなり捨て置けない事態だと感じます。
私自身も某大手メーカーに勤めていたころは業務として大量の端末管理なども行っていたことがあるのですが、廃棄時などは徹底してデータを消去したうえでリース元へと返却しておりました。
もっとも、セキュリティが声高々に唱えられる以前に末端の事業所に在籍していた頃はかなり甘い処理で返却してた記憶もありますが・・・それはすでに20年以上も前のまだ業務用のパソコンが部署に1〜2台で、私自身もずいぶんと未熟だった時代の話ということで。
■報道された事案について
今回の神奈川県庁で使用していたサーバーのHDDがオークションで転売されていたという事案では、詳細が明るみになるにつれてろくでもない状況だったことが透けてみえてきていますが、廃棄処理を委託されているはずの業者内から毎日のように盗みとっては販売していたと。しかも盗み出すのは簡単だったという証言なので、よほどウェブサイトに掲載されているようにISO認証を取得できるような厳重な管理は形だけであったと考えられるでしょう。
私自身も某大手メーカーに勤めていたころはISO認証作業にも業務の一環としてかかわったことがありますが、ISO認証そのものは業務実態よりも体制やマニュアルが整っているかという点が重視される印象を持っています。ですので、たとえISOが取得できるほどマニュアルや体制がしっかり整っていても実際に取得後に継続して業務運用していかなければこういった事態が起こるであろうと推測できます。
また、今回逮捕された担当者そのものも、単純に初期化しただけでオークションで売り捌いてしまうという行動からも技量の低さというものが現れています。
窃盗(業務上横領か)を推奨するわけじゃありませんが、もし盗品を売り捌くときに足がつかないようにする技量があるならば、磁気的な復元もできないように全領域の複数回にわたる上書き消去は時間をかけてでも行うでしょう。その手間すら惜しんだのかそれとも技量がなかったのかわかりませんが、結果的に復元ソフト程度で簡単にデータを復元されて逮捕に至るなど、倫理観も技量も論じるに値しないレベルであったと断言できるわけで、そういった人物を会社の要である実務部分に配置してしまうという失態は小さくないでしょう。
■情報を扱う事業者が持つべきセキュリティ意識として
報道によれば、その業者さんでは主要取引先として各省庁や大手企業の名前をウェブサイトに堂々と掲載していたとか。
よく会社案内のパンフレットなどに書くようなノリでウェブサイトに掲載してしまうというのはつまり、重要なデータがその業者に集まってきていると世界中に宣伝してしまっているようなもので、セキュリティ面から考えればぜったいにやるべきではない行為だと私は思っています。
もちろん、弊社でも取引は個人顧客主体としながらでも法人取引も一応はあるわけで、主要取引先として大手の名前や省庁名などを掲載すれば会社としての箔が付くわけですから弊社も宣伝としてウェブサイトに掲載したいと考えたことはありましたけど、やはり顧客側のリスクが高すぎるので創業以来いまに至るまで公開はしていませんし今後も具体的に取引先名を公開する事はまずありえないでしょう。(もし、同業者さんでそんな情報をウェブサイトに掲載しているところがあったとすれば、あまりにも顧客が被るリスクが高すぎると認識していただきたいところです)
問題を起こした業者さんと業種は違えど、顧客の大切なデータを一瞬でも預かる身としては万一の流出があれば廃業に至るくらいでは済まない覚悟をしておかねばなりませんし、そもそも重要なデータを取り扱っていることすら外部に知られることは避けないといけないのではなかったかと意見させていただきたいものです。
・・・他社批判などは絶対に掲載NGという社内の掟があるのですが、具体名も書いていませんしこれなら掲載しても大丈夫かなぁ。