神奈川県の行政文書が保存されているハードディスクが転売されていた問題

神奈川県の行政文書を保存したハードディスクが転売されていた問題で、テレビ朝日が、2019年12月8日のニュースで、ハードディスクを転売した廃棄物処理業者に勤務する男が、

「簡単、毎日のように（HDDを）盗んだ」

と供述していることを報道していました。

このニュースでは、

・神奈川県庁のハードディスクの廃棄を請け負っていたのは「ブロードリンク」。

・元社員の男性（50）は12月3日に会社からハードディスク12台を盗んだ疑いが持たれている

・捜査関係者への取材で、男性の容疑者は「持ち出しは簡単で、毎日のように盗んでいた」と供述

・防犯カメラの解析などから、他の社員が出社する前を狙って盗みを繰り返していた

・男性の容疑者は神奈川県庁のハードディスクの転売についても関与を認めている

・警視庁は余罪について調べている

（注：一部筆者による編集、強調、言い換えあり）

ということだそうです。

この組織のウェブサイトを確認すると「安全安心への取組」と題したページに、情報セキュリティ宣言として、

（以下、ウェブサイトより引用）

1.当社は、重要な情報資産の機密性、完全性、可用性の確保に努める。

2.当社は、お客様との契約と法的または規制要求事項を尊重する。

3.当社は、情報セキュリティを確立するための諸施策を確実に実施する。

4.当社の情報資産の利用・運用に係る全要員は、情報セキュリティ関連規則を遵守する。

（引用、ここまで）

と記載されています。

今回の場合、「悪意を持った社員による犯行」なので、こうした「宣言」や「方針」は、社員の性善説をもとにしているでしょうから、完璧に防ぐのは、難しいとは思います。

しかし、今の時代ですから、こうした「悪意のある社員」や「悪意を誘発する業務管理」といった点についても管理策を規定し、その管理策が有効に機能しているか否かを監視しなければ、ダメでしょう。

また、ウェブサイトを確認すると、全事業所が、情報セキュリティマネジメントシステム認証の対象がどうかわかりませんが、情報セキュリティマネジメントシステムの国際規格であるISO27001を取得しています。

ということは、情報セキュリティに関するリスクを想定し、管理策を決めて、その運用状況や運用状況の有効性を組織自らの内部監査や第三者機関による認証審査でチェックを受けているはずです。

「12月3日に12台盗まれただけ」の話であれば、組織に少し同情しますが、容疑者の男性は「毎日盗んでいた」と供述していることから、何百台とハードディスクを持ち出しても、組織はそれを感知するシステムがない、あるいは、有ったとしても機能していなかったわけです。

この組織の認証審査を担当している認証機関は、実態調査と認証の有効性を検証し、世間に公表するべきでしょう。今後の動向に注目したいと思います。

【好評発売中！】
『ISOの復権　マネジメントシステム認証制度が社会的価値を持つために必要なこと』

（ブイツーソリューション刊）

“できるビジネスマンのマネジメント本”（玄武書房）

【よかったらメルマガ読者登録お願いします♪】↓
（パソコンでアクセスしている方）