sponsored

神奈川県が大量の個人情報を含む県庁のハードディスク(HDD)が外部に流出させた問題で、県が使用を終えたHDDについて、リース元の富士通リースがデータ消去を自ら確認せず売却していたことが分かった。
同社は売却先のブロードリンクに、県庁からの搬出や処分など処理を「丸投げ」していた。
神奈川県は、富士通リースとブロードリンクをそれぞれ3ヶ月の指名停止としていたことも分かったと報道されている。

ネットオークションでHDDを落札した男性(IT企業経営者)によると、
1、税金の滞納者と滞納額(個人情報守秘義務違反容疑)、
2、差し押さえを検討する書類(個人情報守秘義務違反容疑)、
3、入札金額について検討した書類(不正競争防止法違反容疑)、
4、学校の教職員名簿(個人情報守秘義務違反容疑)、
5、発電所の設計図とみられる図面(国家安全義務違反容疑)、
6、職員の勤務表、
7、水道局の工事に関する図面……。
などなど入っていたという。
そのため、びっくりして連絡し、問題が発覚したもの。

元々、富士通リースとブロードリンクの売買契約は、HDDが動作すればデータを専用ソフトで消去し、動かなければ物理的に破壊する、という内容だったという。
ところが、神奈川県は、富士通リースがブロードリンクとの間で売買契約を結んでいることを知らなかった。
11月下旬、朝日新聞の指摘で流出の可能性を把握。ここで初めて、HDDの処分方法を富士通リースに確認したという。

国や自治体はガイドラインで、個人情報が入った記憶媒体の処理について「復元できない状態にする」と定めている。
神奈川県が富士通リースと結んだリース契約によれば、使用後のHDDについて「(富士通リース側が)データ復旧が不可能とされる方法で消去作業を行う」としていた。

だが、実際に引き取りに訪れたのは、富士通リースからHDDを買い取る契約を結んでいたブロードリンクだった。

データが完全に消去されないままHDDが転売されたことに、県幹部は動揺を隠せなかった。
「富士通リースとの契約を見直さないといけない」、「やりました、という報告書を全面的に信じられない」

リース契約には、データが完全に消去されたことを示す証明書を県に提出する内容も含まれていたが、富士通リースは証明書の発行をブロードリンクに依頼し忘れていた。
その結果、引き渡しから7ヶ月以上たっても県は証明書を入手できておらず、結果として流出を把握できなかった。

問題の発覚後、神奈川県やブロードリンクはトップが記者会見をしたが、富士通リースは詳細な説明をしていない。
富士通リースは11日夕、朝日新聞の取材に文書で回答し、HDDのデータ消去や廃棄については、売却先のブロードリンクが責任を持って処理することになっているとした。
以上、報道参照

第一義的に消去を確認していない神奈川県の責任
二次的には、消去条項の契約のもとに神奈川県とパソコンのリース契約を締結した富士通リースの責任。(実質的に一番問題の会社)
ブロードレンクについては、神奈川県とは直接関係なく、単なる民間企業どうしの契約違反に過ぎない。

毎日、HDDを抜き取り持ち帰ったとされるブロードリンクの社員であるが、その中にたまたま神奈川県庁の分が含まれていただけの話である。

ブロードリンクは企業がパソコンの廃棄処分を依頼するに当たり、消去することが生命線の会社。それが行われず何千個もHDDが流出するとは信義原則の商取引ができない会社ということになる。
ブロードリンクは朝日生命の関係会社、朝日生命の最重要顧客台帳入りのHDDがどっかに転売されている可能性もある。

数限りなくある中古ネット通販やネットオークション、パソコンやパソコン部品の中古屋で当該の数千枚のHDDの1枚でも購入した人は、改めてHDDの中身を見て、どっかの国のスパイに高額で売却する可能性すらある。