2019年12月6日、インターネットオークションで落札したハードディスクから行政文書とみられるデータが復元されたと報じられました。その後の調査でこのハードディスクはリース会社が委託した処理業者の従業員が転売して事実が明らかになりました。第一報を報じた朝日新聞は今回の流出事案を「世界最悪級の流出」と表現しています。ここでは関連する情報をまとめます。
発端は落札者のデータ復元
- IT会社の男性が仕事で使うためにネットオークションで中古のHDDを落札。
- 使用しようとしたところ、エラーメッセージが表示されたため過去の経験からHDDのデータを確認。
- 復元ソフトを用いてデータサルベージを実施し、神奈川県の公文書情報とみられるデータを発見。
- 同じ出品者から同じ製造元のHDDが他にも出品されていたことからその後も落札した。
- 朝日新聞を通じて神奈川県へ情報提供し事案が発覚した。
以下は関連する出来事を整理したタイムライン。
| 日時 | 出来事 |
|---|---|
| 2015年 | 男がブロードリンクへ中途採用で入社 |
| 2016年3月頃 | 男が盗んだHDDの横流しを始める。 |
| 2019年2月末~ | リース契約終了に伴い神奈川県のファイルサーバーを交換。 |
| : | 富士通リースがブロードリンクと売買契約を交わしファイルサーバーのHDDの処理を依頼。 |
| : | ブロードリンクが神奈川県を訪問しリース契約の切れたHDDを受領。 |
| 2019年7月以降 | ブロードリンクでHDDの廃棄作業開始。*1 |
| : | 男が富士通リースから受領したHDDを窃盗。 |
| 2019年7月~8月 | 男がネットオークションへHDDを出品。*2 |
| 2019年7月21日 | 出品されたHDDをIT会社の男性が落札。 |
| : | 落札した男性が安全性確認のためHDDのデータを復元。神奈川県の行政情報が含まれていることが判明。 |
| : | 落札した男性が朝日新聞へ情報提供。 |
| 2019年11月26日 | 男性が朝日新聞を仲介して神奈川県へ情報流出の可能性があると指摘。*3 |
| 2019年11月27日 | 神奈川県がデータを確認し、複数の内部情報と思われるものを確認。 |
| : | 神奈川県から富士通リースへ事実確認をするよう指示。 |
| : | ブロードリンクへ外部から不正行為に関する情報提供。 |
| 2019年12月3日 | 社内調査で退勤時に男のロッカーからHDD数個を発見。 |
| 2019年12月5日 | 男が出品したHDD18本全てが落札されていることが判明。 |
| 2019年12月6日 | 朝日新聞がブロードリンク従業員の不正行為について朝刊一面で報道。 |
| 同日 9時45分 | ブロードリンクが大森警察署へ被害届を提出。男を告発。 |
| 同日 | 警視庁捜査3課が男から任意で事情聴取。*4 |
| 同日 | ブロードリンクが男を懲戒解雇処分。*5 |
| 同日 午後 | 神奈川県が情報流出について記者会見。 |
| 同日 夕方 | ブロードリンクが問合せ窓口を設置。 |
| 同日 | 警視庁捜査3課は男を窃盗の容疑で緊急逮捕。 |
| 同日 | 総務省が全国の自治体へ注意喚起。 |
| 2019年12月9日 | ブロードリンクが事案の詳細等記者会見。 |
| 2019年12月10日 | ブロードリンクが男がオークションで転売した記録媒体の落札者に対し連絡をするよう呼びかけ。 |
| 同日 | 神奈川県がブロードリンクを3か月の指名停止処分 |
| 2019年12月11日 | 神奈川県が富士通リースを3か月の指名停止処分 |
| 2019年12月18日 | 富士通リース社長が神奈川県庁を訪れ、知事へ謝罪。*6 |
| 同日 | Yahoo! Japanが落札者へ回収協力のメールを送信。 |
| 2019年12月20日 | 神奈川県が未回収だったHDDの内、5台を改修したと発表。 |
| 2019年12月21日 | 神奈川県は残りの未回収4台を回収したと発表。 |
| 2019年12月27日 | 東京地検は男を窃盗罪で起訴。*7 |
| 2020年1月22日 | 警視庁が男を窃盗容疑で再逮捕。 |
| 2020年2月10日 | 東京地裁で12個のHDDを盗んだ件で初公判*8 |
| 2020年3月24日 | 東京地裁で神奈川県のHDDを含む24個のHDD窃盗について追起訴された事件の公判*9 |
| 2020年3月26日 | ブロードリンクが調査状況と再発防止策を発表。 |
| 2020年5月11日 | 男に対し東京地検は懲役2年を求刑。*10 |
| 2020年6月9日 | 東京地裁は男に懲役2年、執行猶予5年の判決。*11 |
| 2020年8月 | 神奈川県と富士通リースで賠償協議を開始 |
| 2020年11月19日 | 神奈川県と富士通リースで賠償協議による和解が成立したと報道*12 |
ネットオークションへ横流しされたHDD
- 転売先に利用されていたのはヤフーオークション。
- 復元されたデータや提供されたHDD1台のシリアルナンバーが神奈川県使用のものと合致したことから県は情報流出が発生したと覚知。
- ファイルサーバーは神奈川県各部局のファイル共有サーバーに使用されていたもの。
- 税務調査内容の通知、自動車税申告書、法人提出書類、県職員の業務記録、名簿等が含まれる。
- 2019年春に交換時期となり、メンテナンスで交換されたHDDだった。
- 今回報道されたHDDは落札された18台の内の9台。また落札した男性同意のもと神奈川県へ提供されている。
リース先は富士通リース株式会社横浜支店
- 神奈川県から富士通リース株式会社横浜支店に対し返却されたHDDは全部で504台。*13
- この内、ネットオークションへは合計18台出品・落札されていた。
- 残りのHDDは溶解処理や解体・圧縮処理済みで流出は確認されていない。(県が継続調査中)
報ステや朝日新聞が出品ページを報道
- HDDは3.5インチで容量は3TB。7200 rpm。HGST製(台湾)。2013年9月製造。
- シリアルナンバーは
0F19455MPKAC00P39 - 「DISK1-1」というテプラシールが貼られていた。(出品した画像にはそのようなシールは見受けられず)
- ネットオークションへは3個セットで出品。落札価格は約1万円。*14
- 2019年12月6日に報道ステーションが報じた出品ページには次の記述があった。
日立HGST 3.5インチHDD 3.0TB HUS724030ALA640 3個セット
NTFSフォーマット済み。CrystalDiskInfoで正常判定です。
発送完了後、6日以内に動作確認を行ってください。
不良の場合のみ返品可能です。返送していただき、申告の不具合が当方で確認できた場合、返送料を含む代金を返金します。
申告の不具合が当方で確認できなかった場合は再度送料をお支払いいただいた後、再送します。
発送後6日経過以降は一切対応できかねます。発送は、ゆうパック、東京発送、60サイズです。
未回収のHDD9台への対応(事案発覚当時)
Yahoo! Japanの連絡を受け、全て回収
- 2019年12月20日に未回収だった9台の内、5台のHDDを回収したと発表。*17
- 神奈川県の依頼を受け、Yahoo!Japanが落札者へ回収の呼びかけを行っていた。
- 神奈川県は回収したHDDの代替として落札者に新品のHDDを渡している。*18
| 7月24日落札分 | HDD2台 | 関西圏の人物が落札。HDD1台が動作しなかったため、復元ソフトを試行。データが複数確認されたことからこれを削除し、もう1台とともに保管。復元されたデータはアルファベット、数字羅列であり、神奈川県のものという認識はその人物はなかった。 |
|---|---|---|
| 7月29日落札分 | HDD3台 | 関東圏の人物が落札。データ復元は行わず3台とも写真等の保存に使用。 |
| 残りの落札分 | HDD4台 | 関東圏の人物が落札。21日朝に連絡。データ復元は行っておらず、4台の内1台を写真保存に利用。 |
転売が発覚したHDD廃棄の実態
神奈川県の運用
- 神奈川県は格納したデータの暗号化は行っていなかった。
- 返却の際は初期化作業を行いデータ全ての消去作業を行っていた。
- 返却から7カ月経過した後も富士通リースからHDDの消去証明書の提出を受けていなかった。
- 神奈川県の担当者は富士通リースが廃棄処理をブロードリンクに委託していたことは把握しておらず、社名も知らなかった。
- 直接的な契約がないことから廃棄の現場の立会は行っていなかった。
富士通リースの契約
- 神奈川県との契約「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」に基づく作業で行われるもの。具体的な指定はされていない。
- 富士通リースからブロードリンクとの間は売買契約が結ばれていた。この売買契約を神奈川県側は把握していなかった。
- 売買契約の中で動作するHDDはデータを専用ソフトで消去、動作しないHDDは物理破壊という内容が含まれていた。
- 富士通リースはブロードリンクに対し、完了報告書を求める契約を忘れており行っていなかった。*19
- 神奈川県には契約したブロードリンクが直接訪問し転売されたHDDを含む396個が引き渡されていた。
ブロードリンクの廃棄
- 廃棄対象の資機材は東京大田区のデータ消去施設に集積。この施設でデータ消去や情報機器の破壊作業が行われる。
- HDD管理を行っていたデータ消去室では指紋認証等が行われ、有資格者のみが入室可能。記録は行っているが、日常的にチェックしていたわけではなく、何かあったときにのみ確認が行われる運用。
- データの消去にはBlancco社製ソフトウェアを採用。元々この18個のHDDはデータ消去後再利用される予定だった。
- 退去時の持ち出し防止のため作業着のポケットは縫い付けられていた。
- 過去には退社時に抜き打ちで手荷物検査も行っていたが、男はこれまで対象となったことはなかった。*20
| 正社員 | 週1~2回で抜き打ち検査を実施 |
|---|---|
| 契約社員、パート従業員 | 毎退勤時に検査を実施 |
- 消去処理ではなく、HDDを廃棄する際は室内のカゴに保管される。物理破壊に関してダブルチェックは行われていない。
- 廃棄するHDDのシリアルナンバーを管理しているが、破壊をしたかまでは確認していなかった。
- 破壊処理後にリサイクル業者に売却することから、外部への持ち出しに気付けなかった。
男が取材に回答
- この事案に関与したとするブロードリンク社員を名乗る男が朝日新聞の取材に答えていた。
- 男はブロードリンクで技術職としてデータ消去を担当。
- 男は横流しを認めた一方、HDDに神奈川県の行政情報が含まれることは知らなかったと回答している。
- 男は会社に対して小遣い稼ぎの売却目的でHDDを横領。18台のHDDをオークションへ出品したと話している。
どうやって盗んでいたのか
窃盗容疑で逮捕(2019年12月6日)
- 2019年12月6日、警視庁捜査3課が男を窃盗容疑で緊急逮捕。*23
- 2019年12月3日6時40分頃に社内の消去施設から保管されたHDD12台を窃盗した疑い。*24
- 男は容疑を認めており、さらに複数回盗んだとして次の趣旨の供述している。*25
- 「入社直後から行っていた」
- 「簡単にできたので毎日のように盗んでいた。」
- 「捕まるまで、やめられなかった」
- 12月3日の社内調査で男のロッカーから5,6個のHDDが新たに発見されたがこれは神奈川県使用のものではなかった。
- シリアルナンバーからこの12台は神奈川県の18台とは別のものと確認されている。*26
- ヤフオク以外にも若干数はメルカリへ出品を行っていた。*27
窃盗容疑で再逮捕(2020年1月22日)
- 20919年6月6日頃、男が神奈川県庁のHDDを含む24個(4万8000円相当)を窃盗した疑い。男は容疑を認めている。
- HDD24個の内18個は神奈川県庁が使用していた。他6個の廃棄依頼元は公表されていない。
- 男は約7900点をネットオークションで出品、転売し、約2000万円を得ていた模様。これまでにこれらからの情報流出被害は確認されていない。
- 男は「データは自宅で消去していた」「他の社員出勤前に毎日持ち出しをし、800~900回ぐらいやった」「何のデータが入っているかは知らなかった」と供述している。*28
全額賠償
- ブロードリンクより請求された約1900万円の損害を全額弁済していたことが2020年5月11日 弁護士より明らかにされた。*29
富士通リース取引先への取材
富士通リースと取引実績のある自治体等へ取材が行われている。*30
| 防衛省 | 平成30年度に約40万円の契約有り。この事案の影響を受けたかは調査中。海上自衛隊のHDD処理の際は全てドライバーで穴をあけ破壊してから引き渡ししていた。契約先とするのは不適当という理由で12月9日に9か月間の指名停止処分。 |
| 国土交通省 | 2016年~2017年度に端末廃棄を委託。*31 |
| 埼玉県 | 県庁複数の部局で同社とサーバーリースの契約を結んでいる。廃棄の詳細を確認中。同様の流出は確認されておらず。 |
| 千葉県 | 財務、給与に使用するシステムで同社からサーバー(HDD込み)をリース契約している。廃棄方法に問題がなかったか報告を求めている。同様の流出は確認されておらず。 |
| 茨城県 | 富士通リースから4台のHDDを借りている。メール添付のファイルにウイルスが含まれていた場合の無害化装置に利用。過去返却したハードディスクがあるか確認中。 |
| 愛知県 | 3年間で7つの部署で7件の取引実績有り。12月10日時点で流出事実は確認されていない。*32 |
| 最高裁判所 | 2014年4月以降、59件の契約。同社から消去作業、物理破壊作業の完了報告書を受領済み。((HDD流出会社と契約59件 消去「完了」の報告書受領―最高裁,時事通信,2019年12月12日)) |
「世界最悪級の流出」という表現
- この表現を用いて報じたのは朝日新聞。
- Twitterのトレンド入りもしていた。
- 1個3TBのHDDが9個転売されていた事実から合計27TB相当のデータが影響を受けたと見積。
- 「仮に」とした上で画像添付メール1通あたり3MB相当とし900万通相当と計算。
- パナマ文書のデータサイズ2.6TBと比較し10倍規模として「過去最悪レベルの情報流出」と記載していた。
- 神奈川県は「流出」と報じられた件について、インターネット上に流出したものではないと会見でコメントを述べている。
ヤフオクの取引評価数5000件超
- 報道ステーションは当該アカウントの評価数等が5000件以上と報道。
- トレンドブログや有志などでIDを特定し、出品履歴などを調査する動きがみられる。名指しされたIDの出品履歴から2015年以降SSD、HDD、USBメモリ等が多数出品されていた。
- ブロードリンクのその後の調査でストレージ系等記憶装置の出品が3,904個確認された。これらが同社から横領されたものなのかは調査中。
- その後の回収呼びかけを通じて29個(2020年3月26日時点)が回収された。そのほか大部分は購入した人が継続使用中とみられる。ブロードリンクは引き続き回収呼びかけを行っていく。*33
総務省の注意喚起
- 2019年12月6日付で全国自治体に対して通知。*36
- 今回の件を受け、個人情報などが大量に保存された記憶装置の廃棄処分について以下の内容を求めるもの。
- 物理的な破壊、または磁気を用いたデータの消去
- 処理作業完了まで職員の立会
関連報道・発表
朝日新聞の第一報
神奈川県
ブロードリンク
- 2019年12月6日 [PDF] 当社従業員による不正行為について
- 2019年12月9日 [PDF] 当社管理下にあるハードディスク及びデータの外部流出に関するお詫び
- 2019年12月9日 [PDF] 今後の再発防止策
- 2019年12月9日 [PDF] 当社管理下にあるハードディスク及びデータの外部流出に関するお詫び
- 2019年12月10日 [PDF] 「弊社から違法に持ち出されたハードディスク等をネットオークションでご購入された方々へ」
- 2020年3月26日 [PDF] 当社の経営改革と盗難ハードディスクに関する調査・回収について
更新履歴
- 2019年12月7日 AM 新規作成
- 2019年12月8日 AM 続報反映
- 2019年12月9日 PM 続報反映
- 2019年12月11日 PM 続報反映
- 2019年12月14日 AM 続報反映
- 2019年12月21日 AM 続報反映
- 2020年1月25日 AM 続報反映
- 2020年2月15日 AM 続報反映
- 2020年3月24日 PM 続報反映
- 2020年3月27日 PM 続報反映
- 2020年5月12日 PM 続報反映
- 2020年6月9日 PM 続報反映
- 2020年11月21日 AM 続報反映
*1:神奈川県のデータ流出 業者社員、HDD消さず転売,毎日新聞,2019年12月7日
*2:神奈川県庁のハードディスク転売 消去委託社員がネット出品―警視庁が逮捕,時事通信,2019年12月7日
*3:情報流出に気づいた男性「一個人の犯罪で済ませないで」,朝日新聞,2019年12月7日
*4:HDD転売の社員を任意で聴取 ブロードリンクが被害届,朝日新聞,2019年12月6日
*5:ブロードリンク、容疑者を懲戒解雇 「管理体制を強化」,朝日新聞,2019年12月7日
*6:県文書流出問題 富士通リース社長が知事に謝罪,カナロコ,2019年12月18日
*7:東京地検、データ消去会社の元従業員起訴 窃盗罪、HDD流出,時事通信,2019年12月27日
*8:ブロードリンク元社員、窃盗認める HDD流出初公判,朝日新聞,2020年2月10日
*9:中古HDD流出、神奈川県庁分も起訴内容認める,朝日新聞,2020年3月24日
*10:HD流出事件で懲役2年求刑,共同通信,2020年5月11日
*11:神奈川県庁HDD流出、元社員に懲役2年の猶予付き判決,朝日新聞,2020年6月9日
*12:神奈川県HD流出、富士通リースと和解へ 賠償協議が決着,神奈川新聞,2020年11月19日
*13:行政文書流出、神奈川県の対応に不備 データ消去確認せず,産経新聞,2019年12月6日
*14:神奈川県データ流出 担当社員「小遣い稼ぎでやった」,NHK,2019年12月8日
*15:ハードディスク流出 ネットオークションで18個落札,NHK,2019年12月6日
*16:流出HDDは計18個に 神奈川県、9個の行方分からず,朝日新聞,2019年12月6日
*17:神奈川県の流出HDD、2人から5個回収 不明は4個に,朝日新聞,2019年12月20日
*18:神奈川県 不明のHDD9個をすべて回収 情報流出はなし,NHK,2019年12月21日
*19:富士通リース、HDD処理を丸投げ データ消去確認せず,朝日新聞,2019年12月11日
*20:神奈川県情報流出 逮捕の男、持ち物検査の甘さ突く?,日本経済新聞,2019年12月8日
*21:神奈川県データ流出 逮捕の元社員 早朝にディスク持ち出し,NHK,2019年12月8日
*22:容疑者のHDD出品、入社後急増 落札総額1200万円,朝日新聞,2019年12月8日
*23:HDD転売のブロードリンク50代社員、窃盗容疑で逮捕,朝日新聞,2019年12月7日
*24:神奈川県のHDD流出 逮捕の社員「複数回盗んだ」,毎日新聞,2019年12月7日
*25:HDD「簡単で毎日のように盗んだ」容疑者、早朝狙いか,朝日新聞,2019年12月8日
*26:HD流出問題、廃棄会社の男逮捕 警視庁が窃盗疑いで,中日新聞,2019年12月7日
*27:【ブロードリンク会見詳報】「若干、メルカリにも出品」,朝日新聞,2019年12月10日
*28:窃盗HDDデータは自宅で消去か,NHK,2020年1月22日
*29:県庁HDD流出 懲役2年を求刑,NHK,2020年5月11日
*30:納税など個人情報入りハードディスク 廃棄業者がネット競売に,NHK,2019年12月6日
*31:廃棄ハードディスク転売 窃盗容疑で社員を逮捕,日本経済新聞,2019年12月7日
*32:愛知県“情報流出確認されず“,NHK,2019年12月10日
*33:転売HDD、回収は3904個のうち29個…神奈川県の行政文書,読売新聞,2020年3月26日
*34:難なく復元5000万件…絶句,朝日新聞,2019年12月7日朝刊
*35:「なんだこれは…」と絶句 HDD落札男性が見た中身,朝日新聞,2019年12月7日
*36:個人情報HDDは「物理的に破壊を」 総務省が通知,朝日新聞,2019年12月6日
