アカウント名:
パスワード:
立場的にはFが一番まずいね。
データのオーナーである神奈川県の責任が一番大きい
論理的にはそうなんだが、素人集団の神奈川県庁に代わってSIerとしてのFが最初から最後まで面倒を見るってのが実態だったはず。
みんな悪いだろ。
県民のデータが流出した責任→データの管理責任はあくまでも県
データ消去業務を果たせなかった責任→県から受託したF
HDDを横領・流出させた責任→Fから受託したD
とりあえず県はFから賠償を絞れるだけ絞り取って県民に還元してくれ。
すまんブロードリンクだからDじゃなくてBだった
だよなぁ。被害者は県民だからな。
廃棄委託先でのデータ消去の確認を証明書の提出を求めるとかでするように散々言われてるのに、知事が委託先から持ち出されるのは想定外とかドヤ顔で言ってて笑った。知事会見での県は悪くない感がすごかった・・・
当然証明書は発行されてると思う。その証明書が嘘だったんでしょう。ここの業者使ってたとこは気が気じゃないだろうな。この業者じゃないけど、うちの廃棄は大丈夫なんだろうか…。きっと全国のシステム管理者が疑心暗鬼になってるはず。
うちの会社は証明書に破壊した写真を添付(ちゃんとHDDのシリアルナンバーも映っている)するところを使ってます。今回のところはどこまでやってたんでしょうね?ホムペの該当ページが見れなくなってるのでわかりませんが証明書だけでは安心できないと思ってる人や会社って意外と多いんでしょうね
日本には善人なんかいない、人を見たら泥棒と思え、を実践しないといけない世の中なんだね…
> 日本には善人なんかいない
そんな極端な話をしなくても。泥棒がいなくても、過失でデータが漏れるということもあり得ます。
万一の際に、「ほら、証明書をもらってるんだし、自分たちには責任ないんですよ」って言って済ませられるだろう、違約金なり賠償金なりをもらえばそれでいいだろう、その可能背が多少の抑止力になればそれでいいだろう、と思えば証明書だけでいい。でも、それだけでは被害を埋め合わせられない、と考えれば、証明書だけではない何かを求めることになるのは当然だと思います。
日本には日本人しかいないワケじゃないのにね。日本人は日本にしかいないワケじゃないのにね。
たぶん自分が善人でないと証明したかっただけかと#察してあげなよ
事業内容のページからそれらしいページに飛べますよhttps://www.broadlink.co.jp/business/pc/erasing.html [broadlink.co.jp] 「データ消去作業完了報告書」の発行 各HDD毎の詳細な消去ログ情報が記載された「データ消去レポート」も発行 破壊前と後の証明写真提出と書かれていますが、要求されなかったから発行されなかった?転売してるのなら破壊写真なんて取れるわけないから、証明書自体作れないはずなので富士通リースがちゃんと確認してないんじゃないかな?#もし発行されていたら破壊写真とかどうしたのか知りたい
他のHDDの破壊写真が添付されてても気がつかないような案件(顧客)を狙ったのかも。大量にあったら目検でチェックするのも結構なコストだし。
[SAFETY] 安全・安心への取組 − 専門資格と保有施設の安全性|ブロードリンクhttps://www.broadlink.co.jp/safety/ [broadlink.co.jp]
認証基準 ISO/IEC 27001:2013 JIS Q 27001:2014
取り消されちゃうかもね。
Q27001は継続的なプロセス改善をすることが要求されているので、事故報告書出して是正処置って効果が認められれば認証機関にもよるけど取り消されないかも(と、いってみる)。実際にやらかしたことは無いのでわからない。
基本的にその手の認証は、管理体制の認証であって、結果の認証では無いので、管理体制がしっかりしてれば、結果に不具合があっても本来取り消されることは無いはず
なぜか日本では、管理体制の認証に結果まで求めるアホが多いが
発生している結果は管理体制の不備を示唆するに十分だと思うが
昨夜出た朝日新聞記事によると、そもそも証明書は発行されていなかったそうで。
ブロードリンク、破壊完了確認せず 持ち出されたHDD [asahi.com]
同社がHDDを引き取ってから7カ月余たつが、県にはいまだに消去作業の「完了証明書」が届いていない。
ん?この件、県に証明書を発行する(すべき)のはブロードリンクじゃなくて富士通リースだぞ。
富士通リースからサーバーとhddを借りて、県が返却時には富士通リースが読みだせないよう廃棄する
って契約なんだから。なんで知事の言う、「知事が委託先から持ち出されるのは想定外」ってのは正しいのよ。県と富士通リース間では守秘義務や情報漏洩の防止契約が入ってるはずだから、富士通リース自身が破壊処理しないとダメ。(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
県はあくまでも「富士通リースとの契約で富士通リースが処理する」契約をしているだけ。で、これを富士通リースが勝手に破棄を第三者委託した場合、その時点で契約違反だし情報流出が起きている。
情報流出が判明したのが、情報流出のタイミングからさらに盗難→転売された後ってだけの事
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
コレでしょ。勝手に外部の業者に委託したりなんかしないよ。そもそも7か月も放置って県側に確認する気ないじゃん。
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)ない。上記解約がなされていたなら、報道や知事発言と矛盾する。
https://www.msn.com/ja-jp/news/national/%E3%81%84%E3%81%BE%E3%81%A0%E5... [msn.com]
県によると、転売された18個のHDDが使われていたサーバーは、富士通リースから借りていた。県と同社は「(リース期間終了後には同社が)データ復旧が不可能な方法で消去作業を行う」との契約を交わしていたという。
そもそもブロードリンクが実際の消去作業を請け負っていたこと
https://www.pref.kanagawa.jp/docs/fz7/prs/r0273317.html [kanagawa.jp]
原因・富士通リース株式会社横浜支店から作業を請け負った株式会社ブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが横領可能な状態にあったことが一次的な原因です。
再発防止策等・県では従前より情報漏洩防止のため、重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合、県内部の初期化作業でデータを全て消去し、さらにリース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としています。・今後は、情報漏洩防止を徹底するため、契約満了時には、本県職員が立ち合いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行います。
「リース会社を信頼して作業を委託したが、今回の事案で信頼できなくなったから今後は立ち合います(要約)」ということなので、悪くないとは言ってないみたいです。ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
>ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
で、その結果あと何年かしたら、なんでこんなの見てなきゃいけないんだろうって思いながらその作業を見守る作業が職員の中に発生するわけですね
神奈川県なら賠償に500円とか言わず保険業界並みの満額10000円出しても夕張化はしなさそう。商品券すら配らないんだろうけど。
県の金は県民の金だから実質賠償になってないと思うなあ。外から取ってくるか、せめて金以外の価値じゃないと。
プールの元栓締め忘れで数百万円の水道代請求を教諭らが連帯責任で補填するという例がありますが、ネット上の反応は賛否両論ですね。
誰が悪いかで言えば犯罪に走ったブロードリンクの従業員ですが、その責任を取るのは従業員個人だけではありません。ブロードリンクには使用者責任、富士通には請負責任、県には管理責任があり、それぞれの責任割合から賠償額が決定されるのが道理です。県が賠償請求する相手はブロードリンクではなく富士通ですから取りっぱぐれることはないでしょうが、暗号化を実施していなかったなど、県にも一定の落ち度が認められるので、その分に関しては県税で補填するか泣き寝入りすることになるはずです。
県知事選挙は、県民の意思を行政に反映させることができますが、結果として発生した利益も不利益も県民が負うということでもありますから、それは致し方ないところでしょう。
暗号化を実施していなかったなど、県にも一定の落ち度が認められる
ホントに「落ち度」か?一ユーザーに求めるレベルが高すぎないか?
いや、こういう業者ができてないだけですぐ流出するんだからできる範囲で自衛しないとダメでしょ。暗号化なんてさほど高いレベルではない。普通のレベル。
そういう時は、全職員の給与から集めるんじゃね?何かでそんなことしてたことあるような…。実際、公務員に対しての負のインセンティブとしては有効だと思う。
県民から見たら悪いのは県だけど、県から見たら悪いのはブロードリンク。ブロードリンクから金をぶんどって県民に渡すのがベストか?#そしてブロードリンクは元職員から金を取ろうとするも殆ど取れず、結果として県民にも賠償されないところまで予想
県から見れば、直接的な契約先の富士通もしくは富士通リースが悪いんでしょう県が直接ブロードリンクに発注してるわけじゃないでしょ?
県から見たら悪いのは富士通リースだろう。
県との契約では廃棄を第三者委託すること許されてない(明記してない)と思うぞ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
誰が悪いか (スコア:1)
立場的にはFが一番まずいね。
Re:誰が悪いか (スコア:0)
データのオーナーである神奈川県の責任が一番大きい
Re:誰が悪いか (スコア:1)
論理的にはそうなんだが、素人集団の神奈川県庁に代わってSIerとしてのFが最初から最後まで面倒を見るってのが実態だったはず。
Re: (スコア:0)
みんな悪いだろ。
県民のデータが流出した責任→データの管理責任はあくまでも県
データ消去業務を果たせなかった責任→県から受託したF
HDDを横領・流出させた責任→Fから受託したD
とりあえず県はFから賠償を絞れるだけ絞り取って県民に還元してくれ。
Re: (スコア:0)
すまんブロードリンクだからDじゃなくてBだった
Re: (スコア:0)
だよなぁ。被害者は県民だからな。
Re: (スコア:0)
廃棄委託先でのデータ消去の確認を証明書の提出を求めるとかでするように散々言われてるのに、知事が委託先から持ち出されるのは想定外とかドヤ顔で言ってて笑った。
知事会見での県は悪くない感がすごかった・・・
Re:誰が悪いか (スコア:1)
当然証明書は発行されてると思う。その証明書が嘘だったんでしょう。
ここの業者使ってたとこは気が気じゃないだろうな。
この業者じゃないけど、うちの廃棄は大丈夫なんだろうか…。
きっと全国のシステム管理者が疑心暗鬼になってるはず。
Re:誰が悪いか (スコア:2, 興味深い)
うちの会社は証明書に破壊した写真を添付(ちゃんとHDDのシリアルナンバーも映っている)するところを使ってます。
今回のところはどこまでやってたんでしょうね?ホムペの該当ページが見れなくなってるのでわかりませんが
証明書だけでは安心できないと思ってる人や会社って意外と多いんでしょうね
Re: (スコア:0)
日本には善人なんかいない、人を見たら泥棒と思え、を実践しないといけない世の中なんだね…
Re: (スコア:0)
> 日本には善人なんかいない
そんな極端な話をしなくても。
泥棒がいなくても、過失でデータが漏れるということもあり得ます。
万一の際に、「ほら、証明書をもらってるんだし、自分たちには責任ないんですよ」って言って済ませられるだろう、
違約金なり賠償金なりをもらえばそれでいいだろう、その可能背が多少の抑止力になればそれでいいだろう、
と思えば証明書だけでいい。
でも、それだけでは被害を埋め合わせられない、と考えれば、
証明書だけではない何かを求めることになるのは当然だと思います。
Re: (スコア:0)
日本には日本人しかいないワケじゃないのにね。
日本人は日本にしかいないワケじゃないのにね。
Re: (スコア:0)
たぶん自分が善人でないと証明したかっただけかと
#察してあげなよ
Re: (スコア:0)
事業内容のページからそれらしいページに飛べますよ
https://www.broadlink.co.jp/business/pc/erasing.html [broadlink.co.jp]
「データ消去作業完了報告書」の発行
各HDD毎の詳細な消去ログ情報が記載された「データ消去レポート」も発行
破壊前と後の証明写真提出
と書かれていますが、要求されなかったから発行されなかった?
転売してるのなら破壊写真なんて取れるわけないから、証明書自体作れないはずなので富士通リースがちゃんと確認してないんじゃないかな?
#もし発行されていたら破壊写真とかどうしたのか知りたい
Re: (スコア:0)
他のHDDの破壊写真が添付されてても気がつかないような案件(顧客)を狙ったのかも。
大量にあったら目検でチェックするのも結構なコストだし。
Re:誰が悪いか (スコア:2)
[SAFETY] 安全・安心への取組 − 専門資格と保有施設の安全性|ブロードリンク
https://www.broadlink.co.jp/safety/ [broadlink.co.jp]
取り消されちゃうかもね。
Re: (スコア:0)
Q27001は継続的なプロセス改善をすることが要求されているので、事故報告書出して是正処置って効果が認められれば認証機関にもよるけど取り消されないかも(と、いってみる)。実際にやらかしたことは無いのでわからない。
Re: (スコア:0)
基本的にその手の認証は、管理体制の認証であって、結果の認証では無いので、
管理体制がしっかりしてれば、結果に不具合があっても本来取り消されることは無いはず
なぜか日本では、管理体制の認証に結果まで求めるアホが多いが
Re: (スコア:0)
発生している結果は管理体制の不備を示唆するに十分だと思うが
Re:誰が悪いか (スコア:2)
昨夜出た朝日新聞記事によると、そもそも証明書は発行されていなかったそうで。
ブロードリンク、破壊完了確認せず 持ち出されたHDD [asahi.com]
Re: (スコア:0)
ん?この件、県に証明書を発行する(すべき)のはブロードリンクじゃなくて富士通リースだぞ。
富士通リースからサーバーとhddを借りて、県が返却時には富士通リースが読みだせないよう廃棄する
って契約なんだから。なんで知事の言う、「知事が委託先から持ち出されるのは想定外」ってのは正しいのよ。
県と富士通リース間では守秘義務や情報漏洩の防止契約が入ってるはずだから、富士通リース自身が破壊処理しないとダメ。
(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
県はあくまでも「富士通リースとの契約で富士通リースが処理する」契約をしているだけ。
で、これを富士通リースが勝手に破棄を第三者委託した場合、その時点で契約違反だし情報流出が起きている。
情報流出が判明したのが、情報流出のタイミングからさらに盗難→転売された後ってだけの事
Re: (スコア:0)
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
コレでしょ。勝手に外部の業者に委託したりなんかしないよ。
そもそも7か月も放置って県側に確認する気ないじゃん。
Re: (スコア:0)
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
ない。
上記解約がなされていたなら、報道や知事発言と矛盾する。
https://www.msn.com/ja-jp/news/national/%E3%81%84%E3%81%BE%E3%81%A0%E5... [msn.com]
県によると、転売された18個のHDDが使われていたサーバーは、富士通リースから借りていた。県と同社は「(リース期間終了後には同社が)データ復旧が不可能な方法で消去作業を行う」との契約を交わしていたという。
そもそもブロードリンクが実際の消去作業を請け負っていたこと
Re:誰が悪いか (スコア:1)
https://www.pref.kanagawa.jp/docs/fz7/prs/r0273317.html [kanagawa.jp]
原因
・富士通リース株式会社横浜支店から作業を請け負った株式会社ブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが横領可能な状態にあったことが一次的な原因です。
再発防止策等
・県では従前より情報漏洩防止のため、重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合、県内部の初期化作業でデータを全て消去し、さらにリース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としています。
・今後は、情報漏洩防止を徹底するため、契約満了時には、本県職員が立ち合いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行います。
「リース会社を信頼して作業を委託したが、今回の事案で信頼できなくなったから今後は立ち合います(要約)」ということなので、悪くないとは言ってないみたいです。
ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
Re: (スコア:0)
Re: (スコア:0)
>ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
で、その結果あと何年かしたら、なんでこんなの見てなきゃいけないんだろうって思いながら
その作業を見守る作業が職員の中に発生するわけですね
Re: (スコア:0)
神奈川県なら賠償に500円とか言わず保険業界並みの満額10000円出しても夕張化はしなさそう。
商品券すら配らないんだろうけど。
Re: (スコア:0)
県の金は県民の金だから実質賠償になってないと思うなあ。外から取ってくるか、せめて金以外の価値じゃないと。
Re:誰が悪いか (スコア:2)
プールの元栓締め忘れで数百万円の水道代請求を教諭らが連帯責任で補填するという例がありますが、ネット上の反応は賛否両論ですね。
誰が悪いかで言えば犯罪に走ったブロードリンクの従業員ですが、その責任を取るのは従業員個人だけではありません。ブロードリンクには使用者責任、富士通には請負責任、県には管理責任があり、それぞれの責任割合から賠償額が決定されるのが道理です。県が賠償請求する相手はブロードリンクではなく富士通ですから取りっぱぐれることはないでしょうが、暗号化を実施していなかったなど、県にも一定の落ち度が認められるので、その分に関しては県税で補填するか泣き寝入りすることになるはずです。
県知事選挙は、県民の意思を行政に反映させることができますが、結果として発生した利益も不利益も県民が負うということでもありますから、それは致し方ないところでしょう。
Re:誰が悪いか (スコア:2)
ホントに「落ち度」か?
一ユーザーに求めるレベルが高すぎないか?
Re: (スコア:0)
いや、こういう業者ができてないだけですぐ流出するんだからできる範囲で自衛しないとダメでしょ。
暗号化なんてさほど高いレベルではない。
普通のレベル。
Re: (スコア:0)
そういう時は、全職員の給与から集めるんじゃね?
何かでそんなことしてたことあるような…。
実際、公務員に対しての負のインセンティブとしては有効だと思う。
Re: (スコア:0)
県民から見たら悪いのは県だけど、県から見たら悪いのはブロードリンク。
ブロードリンクから金をぶんどって県民に渡すのがベストか?
#そしてブロードリンクは元職員から金を取ろうとするも殆ど取れず、結果として県民にも賠償されないところまで予想
Re: (スコア:0)
県から見れば、直接的な契約先の富士通もしくは富士通リースが悪いんでしょう
県が直接ブロードリンクに発注してるわけじゃないでしょ?
Re: (スコア:0)
県から見たら悪いのは富士通リースだろう。
県との契約では廃棄を第三者委託すること許されてない(明記してない)と思うぞ