ニュース・トピックス

ニュース・トピックス 詳細

 

オークネット総研ニュースレター配信
~中古デジタル機器流通市場の動向を探る~
第5回:情報システム機器廃棄・再流通時に求められるセキュリティ(4)
〜機器廃棄時に内部情報を流出させないための神奈川県庁の対応策〜

2021年9月15日

 オークネット総合研究所(所在地:東京都港区、理事長:佐藤俊司)は、BtoB ネットオークションを主軸とした情報流通サービスを提供する株式会社オークネット(本社:東京都港区、代表取締役会長CEO:藤崎 清孝 代表取締役社長COO:藤崎 慎一郎、以下:オークネット)が運営し、独自の調査レポートなどを発表しています。当レポートは昨今注目される中古市場に関し、情報通信研究家・木暮祐一氏に取材・調査を依頼し、ニュースレターとして不定期で配信しているものです。
 デジタル機器の中古流通、とくにPCやスマートフォンなど記憶媒体を持つ機器の廃棄や再流通時には、記憶媒体のデータを完全抹消する必要があります。2019年末に明らかになった神奈川県HDD転売・情報流出事件をきっかけに総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」が改訂されるまでに至りましたが、今後機器等を処分する自治体や企業はどのように向き合えば良いのでしょうか。当事者となってしまった神奈川県がとった再発防止策等は自治体・企業を問わず参考になりそうです。



1.他自治体や企業も参考になる神奈川県における再発防止策

 この連載レポートでは、神奈川県HDD転売・流出事件1)をきっかけに、記憶媒体を持つ情報機器等の廃棄の際のガイドラインが見直され、またそれに伴って情報機器等の廃棄を請け負う業界に起きてきた変化を報告してきた。

 かつて、わが国の各所に存在したガイドラインでは、記憶装置を備えた機器の廃棄時におけるデータ抹消に関して「確実に実施する」というような記述はあっても、その手順や方法が具体的に明示されてこなかった。そうした中で、神奈川県では事件後直ちに事件の経緯2)や県独自の再発防止策3)について情報公開を行っている。この再発防止策の内容やそれを確実に実行するための体制は、他の自治体はもちろんのこと、個人情報を取り扱う情報機器等を保有するすべての企業にとっても参考になるものといえる。以下、ご紹介したい。



神奈川県庁

2.取扱いデータに応じた機器等の廃棄手順の明確化

 2019年12月6日の報道で明らかになったこの事件の後、神奈川県では迅速に再発防止策を検討するための検討チームを発足させた。外部専門家として情報セキュリティ大学院大学教授・学長補佐の湯淺墾道氏(現、明治大学公共政策大学院ガバナンス研究科専任教授)と県顧問弁護士の大和田治樹氏、そして県庁内から関連する部局の課長が構成員となり、2019年12月26日に第1回検討会議を開催、以後2020年5月29日までに計4回の会議を開催している。

 迅速に公開されたこの再発防止策は、重要情報を取り扱う情報機器等を廃棄する際に順守すべき手順など示唆が多いが、これを確実に運用していく上ではガイドラインにはない背景事情の理解や、実運用におけるコツもあるはずである。そこで県庁の情報システム運用を監督する立場にあり、再発防止策検討会議で庁内構成員も務められた神奈川県総務局デジタル戦略本部室情報システム担当課長・安藤昌弘氏から、これら再発防止策のポイントや実運用についてお話を伺った。

 安藤氏によれば、
 「まず再発防止策検討会議であるが、すぐにでも対応しなくてはならないことなので、最初の2回の会議で再発防止策をまとめ2020年1月下旬にリリースした。それに基づいて県庁では2月から新たなルールで対策を行っている。再発防止策の大原則は『県の管理下で、職員の管理監督の中で、確実にデータ消去を行う』ということ。県管理下から出たときにはデータの復元は完全に不可能な状態にするということを、絶対に守ろうということになった。」という。

 公表された再発防止策では、まず情報機器と保存情報別に対策を3分類し、それぞれについて具体的な手順や方法を明示している。



対策方法の分類(神奈川県資料より)3)

 実はこの事件を受けて総務省もガイドラインの見直しに着手し、その前段で2020年5月22日には事務連絡「情報システム機器の廃棄等時におけるセキュリティの確保について」4)を発出しているが、この事務連絡の中でも情報の機密性に応じた3基準を示し、それぞれの基準に応じて廃棄方法を明示している。神奈川県の再発防止策および総務省のガイドラインとも、米国国立標準技術研究所(NIST)が文書化している基準「SP800-88 Rev.1」5)を参考にしたものと思われるが、神奈川県では国よりも先駆けて、いち早く2020年2月から情報の機密性を3基準に分類した情報機器等の廃棄を行っていることになる。

 神奈川県では、情報の機密性のうち、個人情報および重要情報を扱う機器(サーバ)は『対策1』を講じ、また公開情報のみを扱う機器およびパソコン(データを保存していないという前提)は『対策2』、タブレットは『対策3』と分類した。

 まず『対策1』に関しては、確実にデータ抹消を行う必要から、データ消去専用ソフトウェアによる上書き消去、さらに磁気消去を施し、最終的に物理破壊までを県の管理下(庁内)で職員2名以上立会いの下に確実に行った上でリース会社に返却することとした。返却後は産業廃棄物として処理を行い、処理完了報告書を提出するものとした。



対策1(個人情報、重要情報の記録媒体)のフロー(神奈川県資料より)6)

 

 公開情報のみの内容を保存していたサーバや、パソコンに関しては『対策2』として、県の管理下(庁内)でデータ消去専用ソフトウェアによる上書き消去を県職員(2名以上立会い)が行い、リース会社に返却後に再びデータ消去専用ソフトウェアによる上書き消去を再度施し、データ消去証明書を提出するものとした。

 「確実にデータ抹消をするためには物理破壊まで持っていくべきであるが、一方で再利用可能な機器類をリユースする市場が形成されている中で、我々の都合だけで一方的に破壊廃棄することが昨今の社会情勢にあっているとも思えない。このため、重要情報を含まない機器に関しては物理破壊まで行わなくてもよいとした」(安藤氏)



対策2(公開情報のみの記録媒体)のフロー(神奈川県資料より)6)

 また記憶媒体を持つタブレット(iPad等)は、『対策3』とした。これは機器付属の初期化ツールによる消去を県職員(2名以上立会い)が行い、リース会社へ返却後、再度同様に機器付属の初期化ツールによる消去を行い、データ消去証明書を提出するものとしている。



対策3(タブレット)のフロー(神奈川県資料より)6)

 このほか、記憶媒体の管理強化も図っている。
 「記憶媒体のシリアル番号での管理を徹底させることとした。以前はリース会社さえサーバ本体内HDDのシリアル番号管理が不十分なところもあったが、今後はリース会社に機器等やHDDのシリアル番号を一覧で提出してもらうことを義務付けた。県庁内ではどのシリアルの機器やHDDがどの部署で使われているのかといったことを自部門でもしっかり管理できるようにした」(安藤氏)

3.データ消去に関する取り決めをリース契約内容でより明確に

 神奈川県の事件に至った原因は、リース会社からデータ消去・廃棄作業を請け負った業者の社員管理・作業管理体制や事故防止対策の不備によってHDDが盗難可能な状態にあったことである。不法行為(盗難)が行われたという想定外の事態から県の情報が外部に出てしまったわけだが、安藤氏いわく県がリース会社と締結していた契約内容に不完全な部分もあり、その結果履行確認が不十分であったなど、県の対応にも一部課題があったと振り返る。

 「リース会社との契約そのものは、総務省のガイドラインに基づいた内容で締結していた。その中には、リース契約の満了後、まず県側で初期化をして返却し、リース会社のほうで物理破壊も含めたデータ復旧が不可能とされている方法によりデータ消去作業を行い、データ消去証明書の提出も義務付けていた。リース会社から廃棄を行う業者への再委託についても盛り込まれていた。しかし、データ消去証明書の提出期限を契約に明記していなかったことが不十分だった。実際には対象機器の種類や量に応じてひと月で提出されることもあれば繁忙期などでは半年ぐらいかかって提出される場合もあった。もちろん県として督促は行っていたが、結果として履行確認が不十分だった」(安藤氏)

 見直し後の契約ではリース契約満了の遅くとも1カ月前までに、情報機器の抹消措置に係る実施計画(抹消措置実施事業者、スケジュール、手法等)の提出を義務付けた。この抹消措置計画内には、県がデータ消去専用ソフトウェアによるデータ消去を行うための期間(1カ月を超えない範囲)と、事件でも問題となったデータ消去証明書、あるいは産業廃棄物処理業者発行の廃棄証明書の写しの提出(2カ月を超えない範囲)を定めることとした。



リース会社との契約見直し内容(神奈川県資料より)7)

 神奈川県では、事件以前は記憶媒体を初期化まで行い、リース会社へ返却を行っていたが、事件後は県管理下で復元不可能な状態までデータ消去や物理破壊を行うこととしている。しかしこれは県職員の負担も大きい。機器等の処分を行う業者においては、事件後は自治体等に出向いて記憶媒体のデータ消去を行うオンサイト処理が増えてきていることを前回のレポート8) でも報じたとおりである。県の『対策1』のフローにも「県の管理下」で契約事業者(リース会社)が物理的破壊まで行い、そこに職員(2名以上)が目視検査を行うと記されている。

 「標準契約書を改訂させていただき、事件以降に締結された契約についてはリース満了時に契約事業者にオンサイト処理で県管理下にてデータ消去までしていただく内容にし、それを条件として調達するようにした。当然価格に転嫁されてしまうのはやむを得ないが」(安藤氏)

 実際に県の管理下でのデータ消去については、新たな契約では基本委託事業者に県庁へ来庁いただき県庁内で磁気破壊や物理破壊を実施(オンサイト実施)としているものの、従来の契約にはその旨の記載がないため、県庁で機器の買取りを行い、各部門の担当者が処理を実施している。このためデジタル戦略本部室がデータ抹消措置に必要なソフトウェアや物理破壊装置を購入し、必要に応じて技術的支援を各所属に対し行う体制を整えている。データ消去ソフトウェアには、ブランコ「Blancco Drive Eraser」(サーバ、パソコン用)と、アドバンスデザイン「DataSweeper」(サーバ用)を導入している。1TBのHDDの消去におよそ2時間20分を費やすという。また磁気破壊装置にはアドバンスデザイン「MagWiper」を導入、HDD1本をおよそ1分で破壊できるという。また、物理破壊装置は日東造機「CrushBox」と、アドバンスデザイン「StorageCrusher」を導入している。


4.県庁内のシステム運用状況と事件後の情報セキュリティ対策

 神奈川県では業務用として2000年(平成12年)頃から1人1台のパソコン利用を推進してきたという。当初はノートパソコンを机上で使用していたが、働き方改革の推進のため、2018年度からモバイルパソコンに順次更新してきた。今年度中に約14,000台の移行を完了するという。

 庁内には無線LANが張り巡らされ、場所を問わず業務できる環境が整えられている。また、モバイルパソコンは全てLTE通信機能を備えており、庁舎外ではLTEネットワーク経由で閉域網を介してインターネットを経由せずに庁内ネットワークやファイルサーバにアクセスできるようにしている。こうした使い方を以前から徹底していたため、コロナ禍における在宅勤務もスムーズに対応できているという。



1人1台モバイルパソコンで業務を行うほか、
情報セキュリティ対策も大企業と変わることがない神奈川県庁

 これら機器等のリース期間は基本的に4年間で、毎年順次置き換えを行っている。したがって、毎年数千台単位でリース契約の満了と新規契約を行う。

 「2019年の事件で、当然リース契約の見直しを行うことになったが、現時点でも事件以前の契約が残存しており、その内容変更ができないため追加の支出が生じている。すなわち、事件以前が始期のリース契約による機器等は、リース終了時に追加費用を支払って県で買取りとし、県庁内でデータ消去処理、廃棄処分を行う。事件後に見直した契約内容で締結する機器等に全て置き換わるまでまだ数年かかる。その追加費用だけでも数千万円規模の費用がかかる」(安藤氏)

 神奈川県の公開情報によれば、この事件による損害賠償をリース会社に対して請求しており、その内容は本事案処理に係る職員の時間外勤務手当やハードディスク回収のための職員の出張旅費等実損害額の合計と、再発防止策を実施するためにかかった費用およびかかる費用の合計として40,973,990円と算出している。この費用のうちかなりの部分を今後各リース会社に支払う追加費用が占めている。

 再発防止策検討会議の第3回および第4回では、再発防止に向けた庁内の情報セキュリティ対策のさらなる強化対策について検討・議論が行われている。事件により内部情報の漏洩に瀕した神奈川県であったが、今回はたまたま外注業者で起きた不法行為が要因だったとはいえ、庁内の情報セキュリティ対策の不備や、県職員のコンプライアンス違反などによっても重要な内部情報の漏洩につながりかねない。したがって、これを機に改めて情報管理のあり方についても見直しを行うこととした。

 神奈川県では従来から、部外者あるいは職員、委託事業者等による情報の持ち出し、盗聴、改ざん、消去、機器および媒体の盗難等の人的要因と、地震、落雷、火災等の災害または事故、故障等による業務の停止や、大規模・広範囲にわたる疾病による職員等の要員不足による情報システム運用の機能不全などを「情報資産に対する脅威」と考えてきた。このため事件以前からも、情報資産を保護するために「物理的対策」「技術的対策」「人的対策」「運用における対策」の4つの観点から情報セキュリティ対策を講じてきた。

 「物理的対策」では、執務室等への不正な立ち入り、情報資産への損傷、妨害等から保護する対策を講じてきた。実際に県庁内の職務スペースにはセキュリティレベルに応じて入室に制限を設けている。また「技術的対策」では不正なアクセスから適切に保護するためのアクセス制限、ネットワーク管理等の対策がとられている。

 「パソコンの利用においては、パソコン本体のローカルフォルダへのデータ保存を禁止し、マイドキュメントエリア等も庁内のファイルサーバにリダイレクト保存することでパソコンの紛失や本体からの情報漏洩を防止してきた。廃棄の際にパソコンを『対策2』で処理するとしているのはこのためである。リダイレクトの範囲は今後順次拡張していく」(安藤氏)



神奈川県総務局デジタル戦略本部室情報システム担当課長・安藤昌弘氏

 「人的対策」としては、職員等に情報セキュリティポリシーの内容を徹底周知する等、十分な教育および啓発を講じてきた。職員への遵守事項として、業務目的以外の使用禁止(システムへのアクセス、インターネット利用等)、端末や外部記録媒体の持出しを許可制としてその管理、許可された端末および記憶媒体以外の使用禁止、離席時にロックするなどの机上の端末等の管理などが徹底されてきた。「運用における対策」としては、システム監視、ポリシー遵守状況の確認、委託を行う際の運用面の対策および緊急事態が発生した際の危機管理対策等を徹底してきた。これら情報セキュリティ対策に対し、デジタル戦略本部室ではISMS認証も取得している。

 一方で、事件をきっかけにこれら対策を見直していくと、「人的対策」においては情報セキュリティ対策として職務階層別研修の開催や、ISMSセミナー等の各種セミナーの開催を行ってきたが、一方で職員の役割に応じた内容での研修が不十分という課題も見えてきた。このため事件後は「神奈川県情報セキュリティポリシー」に基づき体系的網羅的に全職員に対し必要な研修を実施することとして見直しを行い、情報セキュリティ管理者研修のほか、職員のニーズに合わせた様々な形式の研修、業務や職務の役割に応じた研修など、きめの細かい研修制度を設けていくとした。

 県で取り扱う電子情報は、職員が作成、保存、廃棄を行うものであることから、情報セキュリティポリシーや文書規程等、関連する法令等に則り、常に適切に電子情報を取り扱う必要がある。また、職員一人ひとりに電子情報の適切な取り扱いを根付かせ、維持するためには組織的な確認、監査、点検を継続して実施する必要がある。事件後はデータセンターに設置するすべてのサーバに対しアクセスログ、イベントログ等のログを集約し検索する仕組みを導入し、ログ管理、アクセス管理等の監査性向上に関するツールを活用することとした。これにより不正防止の抑止効果、問題の早期発見・解決に活用していくこととした。

 事件で問題になったHDDについては、事件当時はまだデータ保存時に暗号化に対応していない構成だったため、保存されていたデータが解読されてしまったことが指摘された。しかし事件後はサーバのディスク暗号化を実施済みで、今後導入するすべての情報機器の記憶媒体に対し保存時の暗号化の仕組みを検討している。

 こうした庁内における一連の情報システム運用や情報セキュリティ対策、研修等の実施状況を見る限り、上場大手情報通信企業の運用体制と何ら変わることのない、むしろそれ以上に厳格な職務環境を整えていると感じた。

5.情報機器等の廃棄、処理確認までが運用者の責任範囲

 自治体では、住民の個人情報を取り扱うという観点から、民間企業よりもさらに慎重な情報漏洩対策に向き合う必要がある。このため、神奈川県HDD転売・情報流出事件が報道された12月6日に、総務省は自治行政局地域情報政策室長名にて各都道府県・各指定都市情報セキュリティ担当部長宛に「情報システム機器の廃棄等時におけるセキュリティの確保について」という事務連絡を発出し情報セキュリティ対策の徹底について注意喚起を行った。

 また当時、総務省で開催されていた「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」の中に急遽「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会ワーキンググループ」を設置し、ガイドラインの見直しの検討も行われた。その結果、2020年12月28日に総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン」9)として公表している。

 それまで情報機器等の廃棄時において、具体的な手順や処理方法まで明示されず、自治体や企業任せのままで慣れあいになっていたことが、神奈川県の事件をきっかけに情報セキュリティ対策の徹底という観点から遵守すべき点が明らかにされたと共に、機器の廃棄の際にデータを抹消するところまでが機器を運用する側の責任の範囲であるという点も明確化された。

 今回の取材で、神奈川県庁でかつてから行なわれてきた情報セキュリティ対策はそれ相当に万全を期したものと理解できたが、それでも想定外の事件が起こりうる見落としもあった。再発防止策によりそれらポリシーや手順はNIST SP800-88 Rev.1に準じた徹底したものとなっている。こうした機器等廃棄時の手順、リース会社との基本契約の考え方等は他の自治体や企業が今後情報セキュリティ対策を検討していくにあたって大変参考になるはずだ。


【参考】
1)オークネット総合研究所:~中古デジタル機器流通市場の動向を探る~
 第2回:情報システム機器廃棄・再流通時に求められるセキュリティ(1)
 https://www.aucnet.co.jp/wp-content/uploads/NewsLetter_210312_final.pdf

2)神奈川県:リース契約満了により返却したハードディスクの盗難及び再発防止策等について
 https://www.pref.kanagawa.jp/docs/fz7/cnt/p0273317.html

3)神奈川県:県情報を保存するために使用した情報機器からの情報流出防止策
 https://www.pref.kanagawa.jp/documents/56827/boshisaku.pdf

4)総務省:「自治体情報セキュリティ対策の見直しについて」の公表(2020年5月22日)
 https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000098.html

5)オークネット総合研究所:~中古デジタル機器流通市場の動向を探る~
 第3回:情報システム機器廃棄・再流通時に求められるセキュリティ(2)
 https://www.aucnet.co.jp/wp-content/uploads/NewsLetter_20210416_final.pdf

6)神奈川県:再発防止策検討チーム第4回検討会議
 「資料4)情報流出防止策の実施方法及び対応状況について」
 https://www.pref.kanagawa.jp/documents/63008/kentokai04_shiryo04.pdf

7)神奈川県:再発防止策検討チーム第4回検討会議
 「資料3)情報機器等に係る賃貸借契約の契約不履行への対策等について(案)」
 https://www.pref.kanagawa.jp/documents/63008/kentokai04_shiryo03.pdf

8)オークネット総合研究所:~中古デジタル機器流通市場の動向を探る~
 第4回:情報システム機器廃棄・再流通時に求められるセキュリティ(3)
 https://www.aucnet.co.jp/wp-content/uploads/NewsLetter_20210709_final.pdf

9)総務省:地方公共団体における情報セキュリティポリシーに関するガイドライン
 https://www.soumu.go.jp/main_content/000726079.pdf

本リリースのPDFはこちら


——————————————–

 

写真9

 黎明期からの携帯電話業界動向をウォッチし、2000年に株式会社アスキーにて携帯電話情報サイト『携帯24』を立ち上げ同Web編集長。コンテンツ業界を経て2004年にコンサルタントとして独立。2007年には「携帯電話の遠隔医療応用に関する研究」に携わり徳島大学大学院工学研究科を修了、博士(工学)。スマートフォンの医療・ヘルスケア分野への応用をはじめ、ICT の地域社会での活用に関わる研究に従事、各地の主要大学でモバイルやICTに関する講義を行ってきた。 現在、総務省 地域情報化アドバイザーとして地方のDX支援に携わる一方で、一般財団法人情報法制研究所 上席研究員としてデジタル機器の情報セキュリティに関する動向をウォッチする。

<オークネット総合研究所概要>

 1985年に世界初のリアルタイム中古車オンラインオークション事業をスタートし、以来30年にわたりオークションを主軸とした情報流通サービスを提供する株式会社オークネット(URL:https://www.aucnet.co.jp/)が運営。これまで培った実績とネットワークを活用し、専門性、信頼性の高い情報を発信することで、更なる業界発展に寄与することを目指しています。

所 在 地:〒107‐8349東京都港区北青山二丁目5番8号 青山OMスクエア
理 事 長:佐藤 俊司
設  立:2001年1月
活動内容:オークネット既存事業に関する調査レポートやその他業界貢献に関する調査研究
U R L:https://www.aucnet.co.jp/aucnet-reseach/

<本件に関するお問合せ>
株式会社オークネット 広報担当:高野、横田、廣中
TEL:03-6440-2530  E-MAIL:request@ns.aucnet.co.jp

※本資料を利用される際は、オークネットにご一報の上、提供元を「オークネット総合研究所」と明記して、ご利用ください。



ニュース一覧へ