リース契約満了により返却したハードディスクの盗難及び再発防止策等について
お電話でのお問い合わせについては、情報システム課調整グループ(045-210-3306)にお願いいたします。(平日の8時30分から17時15分)
また、フォームメールでのお問い合わせについては、「このページに関するお問い合わせ先」をご覧ください。
なお、お問い合わせ専用ダイヤルは、令和2年3月31日をもって終了いたしました。
【ページ内リンク】 お問い合わせが多い質問 | 関連の記者発表等
【再発防止策検討会議】 第1回検討会議(12月26日開催) | 第2回検討会議(1月24日開催)| 第3回検討会議(2月25日開催) | 第4回検討会議(5月29日開催)
【以下、令和2年6月2日現在】
県が富士通リース株式会社横浜支店とのリース契約満了に伴い返却したサーバーから、県のハードディスクが盗まれたことが判明したのでお知らせします。
県民の皆様に不安を与え、県への信頼を揺るがすものであり、誠に遺憾であるとともに、皆様に、深くお詫びいたします。
なお、外部に出てしまったハードディスク18本は、12月21日までに全て回収し、12月27日には、情報提供者(A氏)により復元されたデータがすべて消去されたと仲介者から県に連絡がありました。
また、再発防止策の検討チームを12月16日に発足し、再発防止策検討会議での検討を重ね、1月27日に情報流出防止策を決定しました。現在、具体的な対策の実施方法などについて、引き続き検討を進めています。
経過
- 令和元年11月26日(火曜)夕刻、県の情報と思われる電子データを持っているという方(以下「A氏」と表記)の仲介者から、県のデータで正しいか確認してほしいとの連絡があり、翌11月27日(水曜)に電子データの内容を確認したところ、公開情報や内部資料などが多く確認されたが、一部個人情報や重要情報も含む県の内部情報と思われるものが確認できた。
- A氏は、オークションサイトから購入した中古のハードディスク9本について、データ復元ソフトウェアを使用したところ、一部データが復元できたとのことで、A氏から任意で提供されたハードディスク1本のシリアルナンバー(個体番号)が、県から富士通リース株式会社横浜支店(以下「富士通リース」と表記)に返却したものと一致したため、県のハードディスクが外部に出たものと認め、同社に対し事実確認を指示した。
- 富士通リースの調査の結果、富士通リースがデータ消去を委託している株式会社ブロードリンク(以下「ブロードリンク」と表記)の社員1名が18本のハードディスクをデータ消去作業前に盗んでオークションサイトに出品し、18本すべて落札されていることが12月5日(木曜)に判明した。
- A氏が購入した9本のハードディスクは、12月5日20時に、本人同意のもと、仲介者から県に返却いただいた。
- ブロードリンクからは、ハードディスクを盗難した社員について、12月6日(金曜)に警視庁大森警察署に告発したこと、行方のわからない残り9本のハードディスクの回収については、警察の捜査にゆだねるとの連絡があった。
- なお、外部に出てしまったハードディスク18本は、12月21日までに全て回収した。
- 情報提供者(A氏)が落札した9本のハードディスクから復元されたデータが、すべて消去されたと、12月27日に仲介者から県に連絡があった。
被害状況(令和2年6月2日現在、新たな被害は確認されていません)
- 12月7日現在、ハードディスクが外部に出たことによる具体的な被害の発生は確認されていない。
- 今回盗難された18本以外のハードディスクについては、溶解処理や解体・圧縮処理されており、外部に持ち出された事実は確認されていないが、継続して調査している。
原因
- 盗難された原因は、富士通リースからデータ消去・廃棄作業を請け負ったブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが盗難可能な状態にあったことだが、県としてもデータ消去の履行確認が不十分であった。
再発防止策等
- 重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合は、従前より情報漏洩防止のため、県内部の初期化作業でデータを全て消去した後、リース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としている。
- 今後は、情報漏洩防止を徹底するため、契約満了時には、県庁から搬出する前に職員が立ち会いのもと、データ記憶装置を物理破壊させるなど、契約の見直しを行う。
- 再発防止策を検討するため早急に検討チームを発足した。(第1回検討会議を令和元年12月26日に開催、第2回検討会議を令和2年1月24日に開催、第3回検討会議を令和2年2月25日に開催した。第4回検討会議を5月29日に開催した。
- 令和2年1月27日に県内部の手続きにより「県情報を保存するために使用した情報機器からの情報流出防止策(PDF:708KB)」を正式決定した。
記者発表以降の取組
- 警視庁及び県警察への相談・情報提供
- 個人情報保護委員会(PPC)への報告・相談
- 県顧問弁護士への法律相談
- オークション運営管理者への協力要請(所在不明だった残り9本を全て回収)
- セキュリティポリシーの周知徹底
- 県民からの「お問い合わせ専用ダイヤル」の設置(12月12日に開設)
- 株式会社ブロードリンクを3か月の指名停止措置(法令違反)
- 富士通リース株式会社を6か月の指名停止措置(県発注契約に関する不正又は違反)(令和2年3月6日に3か月から6か月への延長を決定)
関連の記者発表等
- 【12月6日(記者発表)】リース契約満了により返却したハードディスクの盗難について
- 【12月16日(知事記者会見)】12月16日の内容に、「リース契約満了により返却したハードディスクの盗難に係る再発防止」に関する発言と資料があります。
- 【12月20日(記者発表)】所在不明のハードディスクの一部回収について
- 【12月21日(記者発表)】所在不明のハードディスクの全台回収について
- 【12月24日(知事記者会見)】12月24日の内容に「県のデータが入ったハードディスクの盗難」に関する発言があります。
- 【12月27日(記者発表)】ハードディスクから復元されたデータの消去等について
お問い合わせが多い質問
【令和2年6月2日現在】質問と回答
![質問1](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="17" height="17"><rect fill-opacity="0"/></svg>){kind=small} |
1.質問 何が外部に出てしまったのか? |
|---|---|
|
1.回答 神奈川県の行政文書を保存していたハードディスクを内蔵していたサーバーをリース契約満了により県が初期化したうえで、契約先の富士通リースへ返却しました。リース契約では機器の返却時に「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としており、富士通リースはそのデータ消去作業(物理破壊)をブロードリンクに委託していましたが、作業を実施するブロードリンクの社員が、データ消去を行う前のハードディスク18本を盗み、オークションサイトを通じて売買してしまいました。 |
|
2.質問 外部に出てしまったハードディスクには、どんな情報が含まれていたのか? 自分の情報が含まれているか知りたい |
|---|---|
|
2.回答 盗難された18本のうち9本を購入した情報提供者が、初期化したハードディスクからデータ復元ソフトウェアを使用して復元したデータは、その多くが壊れていて開けなかったり、何のファイルなのか確認できないものがほとんどでした。情報提供者が復元したデータの一部が県に開示され、それを見た限り、データの多くは県の内部文書でしたが、一部報道にあるような個人情報が含まれたデータもありました。(確認した範囲では、総務局、環境農政局、保健福祉局(電子データ作成当時の組織名)、県民局(電子データ作成当時の組織名)、県土整備局、教育局にまたがる範囲に及んでおり、公開情報や内部資料などが多かったが、一部個人情報・重要情報も含まれていました。データ自体は情報提供者から県へ渡せないとされたため、その場で見た以上の確認ができない状況です。) 従いまして、大変申し訳ございませんが、復元されたデータに含まれる情報の範囲を特定することができていません。 |
|
3.質問 報道にあるように大量の個人情報が出てしまったのか? |
|---|---|
|
3.回答 今回ハードディスクが盗難にあったサーバーでは、電子ファイルを細かく分割して複数のサーバー・ハードディスクに分散保存する仕様(396本のハードディスクが一体化して一つのサーバーとして機能するため、どこに保存されるかはわからない仕組み)のため、1本のハードディスクからではデータが正しく復元できません。(ファイルが壊れたり、そもそも復元できない)ただし、一定サイズ以下の小さいファイルは、分割されないで一カ所に保存されるためデータを復元できる可能性があります。 このような仕様のため、盗難にあった18本のハードディスクから復元されたデータはごく一部となり、全てのデータが正しく復元された訳ではありません。また復元されたデータは、現在、データを復元した情報提供者の管理下にのみに存在しており、インターネットに出てしまった訳ではありません。 なお、情報提供者(A氏)が落札した9本のハードディスクから復元されたデータが、すべて消去されたと、12月27日に仲介者から県に連絡がありました。 |
|
4.質問 マイナンバーは復元されたデータに含まれていたのか? |
|---|---|
|
4.回答 現時点で、マイナンバーが含まれていた事実は確認しておりません。 |
|
5.質問 ハードディスクの回収はどうなっているか? |
|---|---|
|
5.回答 所在不明となっていたハードディスク9本のうち、5本については、オークションサイトの協力を得て、12月19日に回収しました。残っていた4本についても、12月21日に回収しましたので、所在不明だった9本は全て回収済みです。 |
|
6.質問 県はデータ消去や物理破壊されたことを確認しなかったのか? |
|---|---|
|
6.回答 県が富士通リースと契約していたリース契約では、機器の返却時に「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としており、併せてデータ消去証明書の提出を求めていましたが、職員の立ち会いまでは求めていませんでした。また、機械返却後、証明書提出の督促は行ってきましたが、現時点でデータ消去証明書はまだ提出されていません。 |
|
7.質問 再発防止など今後の対応はどうするのか? |
|---|---|
|
7.回答 今後は、情報漏洩防止を徹底するため、住民情報等の重要情報が大量に保存された機器内部の記憶装置に係る抹消措置については、契約満了時には、職員が立ち会いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行うことを中心に、外部専門家も含めた再発防止策検討会を発足させ、効果的な再発防止策を検討するため、令和2年1月までに検討会議を2回開催し、情報流出防止策を決定しました。詳しくは、「再発防止策等」をご覧ください。また、令和2年2月及び5月に検討会議を開催し、情報管理のあり方などについて対応方針をとりまとめました。 |
|
8.質問 自分の情報が含まれていた場合、連絡はあるのか? |
|---|---|
|
8.回答 当該案件は、個人情報保護委員会に報告しており、具体的な被害を受ける可能性が認められた場合は、規定に従い、ご本人や対象の事業者等にご連絡いたします。 |
|
9.質問 県は富士通リース等に対して損害賠償請求するのか? |
|---|---|
|
9.回答 県は、富士通リースを12月11日より3か月の指名停止措置(県発注契約に関する不正又は違反)としました。また、今回の事案が極めて重大な結果を生じさせていることを踏まえ、令和2年3月6日に指名停止期間を3か月から6か月に延長しました。損害賠償等の法的措置についてもしかるべき対応を現在検討中です。 |
PDF形式のファイルをご覧いただく場合には、Adobe Acrobat Readerが必要です。Adobe Acrobat Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。
