個人情報が保存された神奈川県庁のHDD計54TB、転売される処理会社の従業員が横領 - ITmedia

　神奈川県庁の行政文書が保存されたHDDがネットオークションで転売され、最大で54TB分の個人情報を含むデータが外部に流出していたことが12月6日、同庁への取材で分かった。ファイルサーバに搭載していたHDDの交換時に、古いHDDの処分を担当した専門会社ブロードリンク（東京都中央区）の従業員が一部を横領、転売したという。

神奈川県のWebサイトより

転売のいきさつ　県庁職員は破壊の現場に立ち会わず

　神奈川県庁は、機器レンタルを手掛ける富士通リース（東京都千代田区）からレンタルしていたファイルサーバのHDDを2019年春にメンテナンスで交換した。両者はHDDの処分方法について「データが読み出せないように処分し、完了後は報告書を作成する」とする契約を結んでいた。その後、富士通リースはHDDの処分をブロードリンクに依頼した。

富士通リースのWebサイトより

　ブロードリンクはほぼ全てのHDDを物理的に破壊処分したが、一部のHDDを従業員が破壊しないまま横領し、ネットオークションで転売していたという。転売されたHDDは計18個、総容量は54TBに上り、神奈川県庁の管理していた行政文書や写真、税に関する情報などのデータが消去された状態で入っていた。実際に流出したデータ量については「現在調査中で詳細な数値は不明」（神奈川県庁）としている。

　HDDに保存されたデータは、削除しても専用ソフトなどで復元できることがある。完全に読み取れない状態にするには、物理的な破壊を行う必要があり、法人などは専門業者に依頼するのが一般的だ。

　HDDの物理破壊をブロードリンクに依頼したのは富士通リースで、神奈川県庁とブロードリンクの間には直接的な契約はなかったとして、県庁職員は破壊の現場には立ち会わなかったという。

ブロードリンクは「安心のデータ消去」をうたっている

　ネットオークションで転売されたHDDは一般男性が落札。データが保存された形跡に気付いた男性がデータを復元したところ、神奈川県庁のものとみられるファイル名が確認できたという。男性が報道機関に調査を依頼し、データの内容やHDDのシリアルナンバーから神奈川県庁がレンタルしていたものと特定され、事実が判明した。

　HDDは4年ほど前から使っていたものだった。個人情報や機密情報が含まれるファイルにはパスワードをかけていたが、暗号化の処理などは行っていなかったという。

　HDDの処分が決まった時点で、神奈川県庁自身もデータを消去する操作を行っていた。発見されたデータについても「ファイル名は分かったものの、文書の本文はほとんど閲覧できない状態にあった」（県庁職員）という。

　神奈川県庁は、転売されたHDDのうち9個は報道機関を通じて返却されているが、残りの9個はいまだ見つかっていない。

　今回の流出について神奈川県庁はITmedia NEWS編集部の取材に対し「HDDの処分状況を追跡できていないことが課題だと分かった。今後は処分状況も管理できるような契約を考えている」とし、「今後はデータを暗号化して保存するようにする」とコメントした。

　富士通リースは「現状でお話できることはない」としている。

　神奈川県庁は6日午後、同件について記者会見を行い、詳しいいきさつなどを正式発表する。