神奈川県庁から大量の機密情報が流出
2019.12.6付の朝日新聞によると、神奈川県庁から大量(27TB)の機密情報が流出したとのことです。
悪事を働いた{神奈川県庁所有の機密データが入ったハードディスク(HDD)を勝手にネットオークションで転売した}のはデータ削除会社(ブロードリンク)の社員です。
問題は、物理的なHDD機器よりも、その中身(自動車税納税者の個人情報はじめ、大量の機密情報)が流出したことです。
このような不正は予測の範囲内で、機密情報を扱う場合は、こういった事態を想定して扱う必要があります。
契約で機密情報は削除する(復元できない状態にする)ことになっている、といっても、現実に契約は守られず、機密情報が洩れて迷惑を被るのは県民や県内の企業です。
機密情報は、媒体が紙でも電子データでも、復元できない状態になったことを機密情報管理者自ら最終確認するのが常識です。
今回のケースは「機密情報は機密情報として扱う」という基本ができていなかったことが原因です。
今回の例(神奈川県庁から大量の機密情報が流出)は氷山の一角で、他の自治体でも起きえることだと思います。
機密情報を扱うのであれば、その組織内(今回の場合は神奈川県庁内)で復元できない状態にすべきです。
それができないのであれば、復元できない状態になるまで当事者(今回の場合は神奈川県庁)がHDDに付き添い、見届けるべきです。
媒体(HDDとか)を復元できない状態にするのを委託する場合は、後の祭りにならないように委託先を管理監督すべきです。
それもできない、ということであれば、機密情報を電子データで扱うのは止め、紙に戻すべきです。
紙より電子データの方が処理するのが楽だと思っている人がいるかもしれません。
確かに、広く流布しても問題ない情報(公開情報)の場合はその通りです。
しかし、機密情報の場合は、それは思い違いで、紙より電子データの方が扱いが余程大変です。
電子データは、紙に比べ、コピー、移動が楽なため、漏洩しないように管理するのは大変です。
従って、機密情報管理が自組織でできない場合は、機密情報を電子データにしてはいけません。
契約で機密情報は削除する(復元できない状態にする)ことになっている、といっても、現実に契約は守られず、機密情報が洩れて迷惑を被るのは県民や県内の企業です。
機密情報は、媒体が紙でも電子データでも、復元できない状態になったことを機密情報管理者自ら最終確認するのが常識です。
今回のケースは「機密情報は機密情報として扱う」という基本ができていなかったことが原因です。
今回の例(神奈川県庁から大量の機密情報が流出)は氷山の一角で、他の自治体でも起きえることだと思います。
機密情報を扱うのであれば、その組織内(今回の場合は神奈川県庁内)で復元できない状態にすべきです。
それができないのであれば、復元できない状態になるまで当事者(今回の場合は神奈川県庁)がHDDに付き添い、見届けるべきです。
媒体(HDDとか)を復元できない状態にするのを委託する場合は、後の祭りにならないように委託先を管理監督すべきです。
それもできない、ということであれば、機密情報を電子データで扱うのは止め、紙に戻すべきです。
紙より電子データの方が処理するのが楽だと思っている人がいるかもしれません。
確かに、広く流布しても問題ない情報(公開情報)の場合はその通りです。
しかし、機密情報の場合は、それは思い違いで、紙より電子データの方が扱いが余程大変です。
電子データは、紙に比べ、コピー、移動が楽なため、漏洩しないように管理するのは大変です。
従って、機密情報管理が自組織でできない場合は、機密情報を電子データにしてはいけません。
