Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

重要書類はシュレッダーしてから廃棄すべき

 毎日新聞4月4日記事に国交省が重要書類を紛失してしまった件が出ていました。

mainichi.jp

国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。

国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。 (毎日新聞記事より引用)

国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。
国土交通省は4日、大阪航空局気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書かれた機密性の高い内部文書も含まれていた。

通行人から路上に書類が落ちている・・と連絡があり、調べてみると廃棄書類を処理する民間業者が車で運搬中に落した可能性がある、、、という事件。

廃棄業者の運搬管理がどうなっていたのか(扉の閉まるトラックで運搬しなかったという事でしょうか?)、一義的には気になるのですが、書類廃棄を頼んだ側、すなわち国交省側にはセキュリティ観点でいくつかの問題がある気がします。

 

www.e-obs.com

  • 「機密性のある文書は裁断などが必要だが、一般ごみとして捨てられており」という内部規定違反があった。
  • 廃棄する箱をきちんと封印してなかったのではないか?
  • 廃棄業者に国交省職員が同行する必要はなかったのか?

 

1点目に関しては、国交省も認めています。適当に処理している職員が居たのでしょう。漏れた可能性がある書類としては、

文書は航空局や気象台で作成された危機管理マニュアルなど。個人情報が記載された連絡網も含まれていた毎日新聞記事より引用)

一部シュレッダーかけるべき書類が混じっていたのは、職員が規定通りに”シュレッダーしてない”原因と対策を考えるべきでしょう。

2点目は宅配便で個人荷物を郵送する時と同様に、箱にガムテープを貼る(弱そうな箱なら補強で箱底にもガムテープを貼る)だけでほぼ終わりです。おそらく貼っておくべきガムテープが貼られてなかったのだろうと思われます。

3点目は一般ゴミだったとの認識の様ですので、やらないのが妥当だった気がしますが、組織によっては廃棄あるいは焼却を見届けるために廃棄施設まで従業員・職員が同行する所もあります。

 

この事件について調べていた所・・・同じような事件が4月13日のOBS大分放送の記事で取り上げられていました。

www.e-obs.com

料金の徴収を委託している関連会社の社員が12日、保管期限の切れた顧客リストを大分市内の営業所から別府市に運ぶ際、トラックの荷台から飛散したということです。(OBS大分放送ニュースより引用)

 

公式発表(大分瓦斯・大分コレクト)

 ■お客さま情報が記載された顧客リストの紛失について

 

2200人分の顧客情報が記載されたリスト58枚が回収できてない、とほぼ同じ様な事件です。トラックの荷台から飛散、つまり扉のあるパネルバン等の配送車ではない訳です。また飛散してしまう訳ですから、段ボール箱の封印も怪しそうですし、そもそも大分ガスの個人情報が含まれる書類の廃棄手続きは、シュレッダーしないで問題ないルールだったのか・・・と考えると、恐らく内規違反もあったと考えるべきでしょうから、主な事件原因は同じ気がします。

 

この手の事件に既視感があったのですが、少し調べてみて分かりました。

NHKが昨年10月に同じ様な事件を起こしてました

tech.nikkeibp.co.jp

10月16日、NHKへ「放送受信料クレジットカード継続払利用申込書が静岡県沼津市内の路上に落ちている」と通報があった。確認の結果、同11日に保存期限の切れた「放送受信料クレジットカード継続払利用申込書」を廃棄処分するため、廃棄業者が埼玉県川口市にあるNHKの倉庫から搬出し静岡県内で溶解処理をする過程で、同申込書が格納されているはずの1箱分が所在不明になっていることが判明したという。(IT Pro記事より引用)

このNHKの事件の場合も、個人情報漏えい(クレジットカード情報漏えい)事件となりますが、事件が繰り返されることを考えるに、また同じ様な事件が発生する可能性は高いだろうと思います。廃棄委託したのだから、廃棄業者に渡したのだから廃棄業者側の責任である!とばかりは言えないのは、委託側にも瑕疵があるからです。もう一度、自社の廃棄手順を見直すべきところも多々あるのではないでしょうか。

 

因みに私は、記事を見た当日、社内引越しに向けたシュレッダー処理を真面目にやってしまいました。(一般ゴミにこっそり捨てようと思ったのですが・・・)

 

 

 

重要な書類のイラスト

 

更新履歴

  • 2018年4月14日AM(予約投稿)