内部統制の厳しい会社が情報漏えい 技術のプロで見つからない原因：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

本末転倒な経費削減

どうやら総務部長は、経費の大幅節減に成功したことを自分だけの手柄にしたかったらしく、期末における経費の大幅節減の数字を発表する際に、業者の変更を経営側に伝えたかったと思われた。

　その後の調査結果としては次のことが判明した。

事実1：PCの粉砕作業の映像について、以前の業者は相当に気を配っていた。映像に切れ間が無く、回収した廃棄PCを梱包している箱の封印状況を1つ1つ確認し、勝手に開けられていないこと確認して封印を解き、粉砕用のベルトコンベアーに移動させている。しかし新しい業者が提出している映像は、所々画像が切れて場面が変化しているため、どうみても適当に撮影している感じがした。封印を解いてから粉砕されるまでの一連の作業がよく分からない。

事実2：調査会社がさらに調べたところ、この業者ではPCの粉砕をほとんど行わず、内部を分解していた。レアメタルが存在しているマザーボードやHDDだけを取り出し、海外に売り払っていたらしい（行き先は香港）。

事実3：企業からの廃棄PCの一部は再調整した後に、中古PCとして出荷されていた。A社は粉砕を前提にしているので、時間がかかる完全消去は義務化していなかった。中古PCの販売ルートに流れたら極めて危険である。

　今回の情報漏えいの原因は、この中古PCの販売ルートにほぼ間違いないと判断できた。幸いにも漏えいした情報は古いものばかりで、ダメージは比較的小さかった。A社には次の対策を提案して今回の調査を終えた。

対策1：時間を費やしても良いので、会社指定のソフトと方法によって廃棄予定PCのデータの完全削除を確実に廃棄者本人が行う。守らない社員は厳罰に処す。

対策2：粉砕業者を従前に戻す。どんな事由であれ、業者の変更には規則上でも明記し、役員会の承諾を必要とした。今回の総務部長の行為は軽率であり、処分内容を別途役員会で定めることとした。

対策3：実はPCの粉砕の映像を全く確認していなかったことも判明した。その確認方法を含め、早急に体制を整備する。そして、「なぜこの作業が必要か」という点を情報セキュリティ教育にも反映し、経営者および全従業員が受講してその理解を深めるようにする。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。