In December 2019, a major incident occurred in Japan: discarded hard drives (HDDs) from a prefectural government were resold via online auctions, and a large volume of sensitive administrative documents was exposed.
This incident is commonly referred to as the 2019 Kanagawa Prefecture HDD resale data leak incident. Here’s a quick summary of what happened and what we can learn.
1) What happened
HDDs from a file server were scheduled for replacement at the end of a lease. Instead of being securely sanitized or physically destroyed under strict controls, some drives were mishandled by a contractor chain and ultimately ended up being resold.
2) What kind of data leaked
Reports indicated that the drives contained highly sensitive information, including personal data and administrative documents. The scale was enormous (reported in the tens of terabytes).
3) Impact
– Public anxiety about misuse of leaked personal information
– Loss of trust in institutions responsible for safeguarding data
– Broader re-evaluation of security practices across organizations
4) Lessons learned
– Disposal of IT equipment must be handled with validated procedures.
– Security is an organization-wide responsibility, not just an IT task.
– Controls should be reviewed regularly as threats and technologies change.
5) Use a reliable erasure system
Before reuse or disposal of PCs, servers, or smartphones, it’s not enough to “reset to factory settings.” Use reliable erasure methods and keep proof.
Solutions like MASAMUNE Erasure help organizations sanitize devices properly and reduce the risk of recoverable data.
2019年12月、神奈川県庁が使用済みハードディスク(HDD)の廃棄を委託した業者の社員が、HDDをインターネットオークションで転売し、県民の個人情報を含む大量の行政文書が流出した事件が発生しました。この事件は、行政機関における情報管理のずさんさを露呈し、社会に大きな衝撃を与えました。今回の記事では、「2019年神奈川県HDD転売・情報流出事件」がどのような事件であったか、それによりどのような影響があったかなどを見ていきます。
1、事件の経緯
神奈川県庁は、リース契約していたファイルサーバーのHDDを、契約満了に伴い交換することになりました。本来であれば、HDD内のデータは完全に消去するか、物理的に破壊して廃棄する必要があります。しかし、県庁と取引のあった企業からデータ消去の発注を受けた業者であるブロードリンク社はHDDの適切な管理を行わず、一部のHDDがインターネットオークションに流出してしまいました。
2、流出した情報の内容
流出したHDDには、神奈川県民の個人情報(氏名、住所、電話番号など)を含む行政文書や、医療機関の患者情報、税務情報など、極めて機密性の高い情報が含まれていました。その量は、HDD 18個分で、最大54TBにものぼると推定されています。
3、この事件の影響
この事件は、単なる情報流出事件にとどまらず、行政機関に対する信頼を大きく失墜させ、社会に様々な影響を与えました。
県民の不安
個人情報が流出した県民からは、個人情報の悪用やプライバシー侵害への不安の声が多数あがりました。また、行政に対する不信感が高まり、行政サービスの利用を躊躇する人も出てきました。
行政機関に対する信頼の失墜
行政機関は、国民の個人情報を適切に管理する責任を負っています。しかし、この事件により、その責任を果たせていないことが明らかになり、行政機関全体の信頼性が揺らぎました。
情報セキュリティ環境の見直し
この事件をきっかけに、行政機関だけでなく、企業や個人においても情報セキュリティの重要性が改めて認識されるようになりました。情報セキュリティ対策の強化や、従業員教育の徹底など、様々な取り組みが行われました。
4、事件の教訓として考えられること
この事件は、情報管理の重要性を改めて認識させるとともに、以下の教訓を与えてくれました。
情報機器の廃棄は、適切な方法で行う
データ消去を業者に委託する場合でも、その業者や業者が使用する消去ソフトが信頼できるか、適切な処理を行っているかを確認する必要があります。
情報セキュリティ対策は、組織全体で取り組む
情報セキュリティ対策は、一部の担当者だけでなく、組織全体で取り組む必要があります。職員一人ひとりが情報セキュリティの重要性を認識し、責任ある行動をとることが大切です。
情報管理体制の定期的な見直し
情報技術は常に進化しており、それに伴い情報セキュリティの脅威も変化しています。そのため、情報管理体制を定期的に見直し、最新の情報セキュリティ対策を導入することが重要です。
5、「MASAMUNE」などの適正なデータ消去システムの活用が重要
スマホやPCなどの情報機器をリユースする前にデータ消去を徹底することは、個人情報の保護において最も重要なステップです。
データ漏洩がもたらすリスクは、プライバシーの侵害や金銭的損失に留まらず、最悪の場合にはHDD転売事件のような行為に発展する恐れがあります。情報機器をリユースする際には、ただ単に「工場出荷状態に戻す」だけでは不十分であり、「MASAMUNE Erasure」などの信頼性の高いデータ消去ソフトやサービスを利用して、データを完全に消去することが不可欠です。
