「リサイクルHDDによる情報漏洩」──コンプライアンス対応の教訓

（2006年05月10日）

　企業が不要になったディスク・ドライブを直接またはリサイクル・サービスを利用して売り払うのはよくあることだが、事前にデータ消去を行ったはずであるのにもかかわらず、自社の重要なデータが残されたまま売られてしまうという事件が後を絶たない。まさにそうした事態に直面したのが、米国アイダホ州南部とオレゴン州東部で約46万の顧客に電力を供給するアイダホ・パワー（アイダホ州ボイシ）である。

　同社では先週、社内データがきちんと消去されていない複数のディスク・ドライブがイーベイのオークション・サイトで販売されていたことが明らかになり、その対応に追われることになった。

　データが消去されないままオークション・サイトで販売されたドライブには、従業員情報をはじめ、顧客とやりとりした通信文、企業秘密に言及したメモなど、秘匿すべき重要な情報が含まれていた。

　アイダホ・パワーによると、同社は約230台のSCSIドライブのデータ消去を含むリサイクル契約をアイダホ州ナンパのグラント・コース氏と結んだという。コース氏はそのうち84台をイーベイのサイトを通じて12の落札先に販売し、残る146台を同社に再納品したという。この件について、コース氏のコメントは得られていない。

　これまでに、アイダホ・パワーは12のうち10の購入先（名前は公表されていない）から、ドライブを返却、もしくはドライブ上のデータの保存や配布を行わないという確約を取り付けた。残る2つの購入先はまだ追跡中だという。

　アイダホ・パワーの広報担当者は、問題のドライブ上にどんな情報があったのか、それらがなぜきちんと消去されなかったのかを詳しく調査するため、シアトルの法律会社、ブランク・ロー＆テクノロジーP.S.と契約を結んだことを明らかにした。

　広報担当者によると、同社では通常、米国防総省（DOD）の基準に従ってドライブを破壊するか情報を消去するかの対応を行っており、今回のケースでも、リサイクル販売業者（コース氏）がDODの基準に従ってドライブ上の情報を消去することになっていたという。

　同社は、この件に関して規制当局からどのような罰則が科される可能性があるかについては、調査が完了しないとわからないとしている。

　また、アイダホ・パワーは、ドライブはリサイクル販売に回すのではなく破壊しなければならないと定めた新たな方針を策定した。ハーバード大学の「Computation and Society」リサーチ・センターで、この問題を研究してきた博士課程修了研究者、シムソン・ガーフィンケル氏が提唱している方針も、それと同様である。

　「ハードディスク・ドライブの再販価格はとても低く、1個当たり5ドルから20ドル程度で取り引きされている。犯罪に利用する目的でそれらを中古市場で購入する人はいないとは思うが、絶対にないと言い切ることはできない」（ガーフィンケル氏）

　ガートナーのアナリスト、フランシス・オブライエン氏によると、データが残ったままのドライブが流通することはよくあることで、通常は、ユーザーがドライブの情報を消去する方法を知らないか、きちんと行わなかったことが原因だという。

　ディスク・ドライブの廃棄やリサイクルに際して、適切な対策を講じなかった場合は、単にデータ漏洩による金銭上の損害が発生する可能性があるだけでなく、SOX（Sarbanes-Oxley Act：米国企業改革法）やHIPAA（Health Insurance Portability and Accountability Act：医療保険の相互運用性と説明責任に関する法律）など複数の連邦法に抵触するおそれもある、と同氏は指摘する。

　IT資産管理アウトソーサー、リデムテック（オハイオ州コロンバス）の社長であるロバート・ホートン氏によると、広範なプライバシー規制を敷いているカリフォルニア州やニューヨーク州などでは、企業にはそうした事件でさらに重大な罰則が科される可能性があるという。

　ガートナーのオブライエン氏は、企業がアウトソーサーと契約する際には、アウトソーサーのデータ消去方法を十分に確認する必要があり、「多くの業者が20ドルを請求する作業を、ある会社が2ドルでやりますと言う場合には、その理由に疑問を抱くべきだ」と指摘している。

(シャロン・フィッシャー／Computerworld 米国版)