第630号コラム:湯淺 墾道 理事(情報セキュリティ大学院大学 副学長、教授)
コラム題:「神奈川県ハードディスク事件をめぐる雑感」
2019年のセキュリティに関するニュースの中でも、年末に飛び込んできた神奈川県ハードディスク事件は、全国の地方公共団体にきわめて大きな影響を与えた。
筆者は、事件が発覚した後に神奈川県に設置された「リース契約満了により返却したハードディスクの盗難に係る再発防止策検討チームの構成員」を務めたが、この間の経緯をめぐる個人的な雑感を記してみたい。なお、検討チームの検討会議はすべて公開で行われ、資料も一部の回収資料を除いて神奈川県のウェブサイトで公開されている。
ハードディスク事件に関する検討チームの議論を聞いていて感じたのは、この事件は、県内部の組織の所掌事務間のエアポケットに一因があったということである。組織の縦割りによる弊害や部門間の情報共有の不足は、大きな組織にはつきものであるともいえようが、ハードディスク事件では特にそれが顕著であったように思う。
一例を挙げると、データ消去証明書の問題がある。
神奈川県は12月18日にリース元である富士通リース株式会社にデータ消去証明書の提出を求めたが、第1回目の検討会議の時点では未提出であり、その後、富士通リース株式会社は消去作業を委託した株式会社ブロードリンクから作業報告書の提出を受けることができず年内中には提出が難しい旨を書面により回答した。
検討会議がとりまとめた「県情報を保存するために使用した情報機器からの情報流出防止策」では、事件の原因について、リース契約の内容と、実際のデータ消去作業とに分けて、それぞれ原因を検討している。
前者については、
●契約内容不備・リース元の責務が不明確
●データ消去作業の実施主体が不明確
●データ消去方法、対象が不明確
●データ消去証明書の内容が不明確
●データ消去証明書の提出期限なし
という問題点が指摘された。要するに、データ消去証明書がきちんと提出されていないのは、それを契約書において適切に義務づけていなかったからだ、ということである。
では、契約書においてデータ消去証明書の提出を適切に義務づけていなかったのは、なぜなのか。「県情報を保存するために使用した情報機器からの情報流出防止策」ではそれは明らかにされていないので、ここから先は筆者の推測となる。
まず、原課において契約書の案を作成するとき、データ消去証明書の提出について明確に記載しなかったのかはなぜかという疑問がある。しかし、仮に原課が作成した契約書案が不適切なものであったとしても、そこにはチェックが入ったはずである。地方公共団体の契約について、法的な問題がないかどうかについては文書法制課、金額や手続に問題がないかどうかについては契約課のような組織が関与することが多いと思われる。神奈川県の場合には、政策局の中に政策法務課、総務局の中に文書課があって契約の法的事項や文書管理について指導することになっている。会計局の中には指導課という組織があり、会計事務の指導を行っている。にもかかわらず、契約の際には、データ消去に関する内容の不備が看過されてしまった。
契約時、それぞれの指導組織が所掌する事務の観点からは、契約書の内容について特に問題視はされなかったようである。たしかにデータ消去に関する詳細な記述がなくても、契約としては特に違法なところはなく成立する。また契約金額や手続についても、特に問題はなかったのであろう。さらに、官公庁や地方自治体では性善説的な前提に立つのが普通であり、仮にリース元がデータ消去証明書の提出を怠ったらどうなるのか、リース元がデータ消去証明書を提出しない場合は債権債務関係が終了しないのではないかという指摘はなされなかったのだろうという想像がつく。指導組織からみれば、技術的な項目については、原課が契約書案の中に適切に記載してくることが前提、ということもあったかもしれない。これは後述の監査にも共通するところである。
さらに、実際に契約書通りにデータ消去証明書が提出されたかどうかをチェックする仕組みも働かなかった。
契約時には文面の審査が行われていても、契約が成立した後は、データ消去証明書が実際に提出される先は原課なのであるから、データ消去証明書が提出されたのかどうかの確認までを指導組織がチェックするという仕組みにはなっていなかったようだ。文書事務の指導を行うのは文書課であるが、こちらも各原課が契約書に記載されている文書類をすべて取得して管理しているかどうか、すべての文書類についてチェックするということまでは行っていないようであった。検討会議の席上、「データ消去証明書は、公文書なのか」という質問が出た。契約という観点から、データ消去証明書の提出をもって債権債務関係が終了するのであるからこれは公文書であるはずだという指摘があった。公文書として扱われるのであれば、神奈川県行政文書管理規則に基づき適切に保存しなければならず、情報公開条例に基づく開示請求にも対応しなければならないはずである。開示請求が行われると、その所管は情報公開広聴課に移る。しかし、実際に開示請求が行われたことはなかったようである。仮に開示請求が行われていたとしたら、リース元が提出しないので取得していないとして、「不存在」として不開示決定をするということになっていただろう。なお今後は、リース契約満了の遅くとも1カ月前までに、情報機器の抹消措置に係る実施計画(抹消措置実施事業者、スケジュール、手法等)の提出を義務付けることになった。
会計監査やセキュリティ監査で、契約内容の不備、データ消去証明書の未提出が指摘されなかったのかという疑問も残る。
しかし、なにか不祥事や事故が起きない限り、このような契約内容の不備は監査では見逃されがちである。毎年全部署のすべての業務に関する全関係書類をすべて現物にあたって調査する、ということは、国の会計監査や行政監察でも行われてはいない。セキュリティ監査では、ドキュメント通りに業務が行われているかは調査されるが、ドキュメントの内容が適正であるのかどうかは問われないことが多い。監査の際に依るべきドキュメントの内容が適正であることは、監査においては「所与の前提」だからである。特に神奈川県の情報セキュリティ監査では、情報セキュリティポリシーの遵守状況、職員の状況、技術的脆弱性、全般的セキュリティ対策が監査項目となっているので、契約書の内容やリース元が提出すべき文書の管理状況までは踏み込んだ調査は行われていなかったようである。
結局、こうした事情から契約の際にはデータ消去に関する内容の不備が看過され、契約後にはデータ消去証明書の未提出が看過されてしまった。
ところで、年末年始には「○○年の10大事件」とか「10大ニュース」というものが発表されることが多い。神奈川県でも毎年、あらかじめ県が選んだニュース候補の中から県民が投票する方法によって「県政10大ニュース・トップ10」を決定し、公表している。
2019年のトップ10は2019年11月21日に投票が開始され、12月17日に投票を締め切ったので、12月6日に報道によって判明したハードディスク事件はニュース候補の中に入っていなかった。投票の結果、2019年の第1位のニュースは「共生共創事業加速!」であった。
2020年の県政10大ニュース・トップ10を決定する際には、広報部門は淡々と2020年1月1日以降に起きた事件からニュース候補を選ぶのかもしれない。結局、本件は2019年に起きた事件であるとして、候補の中には入らないのであろうか。そうであるとすると、これだけの大事件でありながら、ハードディスク事件は、県政10大ニュースにも入らないことになる。なんとも割り切れない思いがするのは、筆者だけであろうか。
【著作権は、湯淺氏に属します】
