【情報漏洩】破棄したはずのHDDが中古店に流出

少し前の事件ですが、消防庁の個人情報が入ったHDDがは破棄されずに中古店で売られていたという事件がありました。そこまで大きな報道はなかったと思いますが、個人的には久しぶりに大きな情報漏洩だと思ったので、取り上げておきます。

事件の詳細は以下の通りです。
1.消防庁とパソコンの賃貸契約を結んでいた日立製作所が、修理・交換を依頼されたパソコンのHDDを回収
2.HDDの修理を委託された子会社が「動作不能」と判断し、金属材料のリサイクルのためリサイクル業者に売却
3.リサイクル業者はHDDの粉砕処理を行なうはずが、ここでなぜかHDDが外部へ流出
4.群馬県内の中古品量販店でHDDの一部を購入した一般の方から消防庁へメール→情報漏洩が発覚

この一般の方が購入したHDDは、もともと武蔵野消防署境出張所の職員が使用していたパソコンに内蔵されていたもので、同署で防火診断した２５００人分の氏名や住所、連絡先のほか、同消防署員の経歴や火災時の出動状況などの情報が入っていたそうです。結構な個人情報ですよね。

事件発覚後に日立製作所が調査したところ、同様のHDDが群馬県内に出回っていたことが分かったそうです。リサイクル業者から中古量販店へ持ち出された経緯は現在調査中とのことですが、公表されている情報だけを見ても今回たまたま流出してしまったという訳ではないような気がします。

今回の事件の教訓、それは重要な情報は自分たちの手の中にとどめておく必要があるということでしょう。今回の場合だと、重要な情報が入ったHDDに関しては修理などで外部に出す場合でも、物理的に破壊するなり、データ消去ツールを利用するなりし、情報が自分たちの手の届かないところへ出て行かないようにする必要があるということです。もちろん、ディスク暗号化ツールを利用しても良いと思います。

情報漏えいは時として業務委託先によって引き起こされます。しかし、この情報漏洩の責任を問われ、社会的信用を失うのは委託元です。（もちろん情報漏洩を起こしたところもですが。）委託先に渡す情報をなるべく少なくするという工夫も、情報漏洩対策として非常に重要ではないでしょうか。

＜参考＞
廃棄処理過程におけるハードディスクドライブの流出について　日立製作所　2008年1月18日
日立製作所、廃棄したHDDが中古品量販店に流出　INTERNET Watch　2008年1月1月21日
日立が「廃棄したはず」の個人情報入りHDD、中古店に流出　ITmedia News　2008年1月18日
東京消防庁の廃棄パソコンから情報流出、業者ＨＤ粉砕せず　じゃぱんOWNERS　2008年1月19日
廃棄したHDDから情報漏洩　セキュリティ＆コンサドーレ札幌　2008年1月27日