神奈川県庁が借りていたサーバーに蓄積されていた県民の個人情報が大量に漏えいした。リース期間が終わったサーバーを処分する際に、廃棄業者の社員がハードディスクを持ち出してネットオークションにかけたのが原因だそうだ。
総務省が再発防止のために急いで通知を出したと報道されている。朝日新聞によると、物理的に壊すか、強力な磁気をあてて使えなくするよう求め、作業の完了まで職員を立ち会わせることも求めているという。
朝日新聞は追加取材し、12月11日の朝刊は通知に困惑する地方公共団体の声を掲載している。
「地理的に離れた所にHDDがある」(愛媛県、山形県)、「(作業終了を証明する)写真を添付してもらっても、全部をどうやって確認したらよいか」(北九州市)と戸惑いを見せる自治体もあった。山口県の担当者は「本当に消去しているのかは、書類だけでは分からない。立ち会えないものについては、業者を信頼するしかない」。
いっそのこと、すべての記憶装置はロードローラで踏みつぶすという通知を出したらどうか。著作権を保護する国と宣伝するために、DVDやブルーレイを踏みつぶすパフォーマンスが好きな中国のように。
総務省の通知と地方公共団体の反応から窺えるのは、ITリテラシーの欠如である。
二番目の記事には上原哲太郎立命館大教授が登場して、「安全なデータ消去法は複数ある。それらを採用している自治体を逆に縛る結果になっている」と話している。その通りである。
たとえば、乱数など無効なデータで上書きしてしまうという方法がある。どんなに大きな記憶装置でも容量は有限だから、それが一杯になるまで無効データを書き込めば、それ以前の情報は再現できなくなる。
暗号化も解決策である。サーバーには暗号化した情報を記録し、暗号鍵を持つ職員だけが内容を利用できるようにする。暗号鍵を破棄すれば、記録されている情報を再現するのは不可能になる。僕が理事長を務める情報通信政策フォーラム(ICPF)ではトラストサービスについてセミナーを開いた。講師を務めた手塚悟慶應大学教授は「正しくない人が正しくない方法で情報を取得した際に閲覧できないように防ぐ最後の砦が暗号化である。」と強調されている。
ITリテラシーを育てないと次の大問題が起きる恐れがある。
—
山田 肇 情報通信政策フォーラム(ICPF)理事長/東洋大学名誉教授