アカウント名:
パスワード:
立場的にはFが一番まずいね。
データのオーナーである神奈川県の責任が一番大きい
廃棄委託先でのデータ消去の確認を証明書の提出を求めるとかでするように散々言われてるのに、知事が委託先から持ち出されるのは想定外とかドヤ顔で言ってて笑った。知事会見での県は悪くない感がすごかった・・・
当然証明書は発行されてると思う。その証明書が嘘だったんでしょう。ここの業者使ってたとこは気が気じゃないだろうな。この業者じゃないけど、うちの廃棄は大丈夫なんだろうか…。きっと全国のシステム管理者が疑心暗鬼になってるはず。
うちの会社は証明書に破壊した写真を添付(ちゃんとHDDのシリアルナンバーも映っている)するところを使ってます。今回のところはどこまでやってたんでしょうね?ホムペの該当ページが見れなくなってるのでわかりませんが証明書だけでは安心できないと思ってる人や会社って意外と多いんでしょうね
日本には善人なんかいない、人を見たら泥棒と思え、を実践しないといけない世の中なんだね…
> 日本には善人なんかいない
そんな極端な話をしなくても。泥棒がいなくても、過失でデータが漏れるということもあり得ます。
万一の際に、「ほら、証明書をもらってるんだし、自分たちには責任ないんですよ」って言って済ませられるだろう、違約金なり賠償金なりをもらえばそれでいいだろう、その可能背が多少の抑止力になればそれでいいだろう、と思えば証明書だけでいい。でも、それだけでは被害を埋め合わせられない、と考えれば、証明書だけではない何かを求めることになるのは当然だと思います。
日本には日本人しかいないワケじゃないのにね。日本人は日本にしかいないワケじゃないのにね。
たぶん自分が善人でないと証明したかっただけかと#察してあげなよ
事業内容のページからそれらしいページに飛べますよhttps://www.broadlink.co.jp/business/pc/erasing.html [broadlink.co.jp] 「データ消去作業完了報告書」の発行 各HDD毎の詳細な消去ログ情報が記載された「データ消去レポート」も発行 破壊前と後の証明写真提出と書かれていますが、要求されなかったから発行されなかった?転売してるのなら破壊写真なんて取れるわけないから、証明書自体作れないはずなので富士通リースがちゃんと確認してないんじゃないかな?#もし発行されていたら破壊写真とかどうしたのか知りたい
他のHDDの破壊写真が添付されてても気がつかないような案件(顧客)を狙ったのかも。大量にあったら目検でチェックするのも結構なコストだし。
[SAFETY] 安全・安心への取組 − 専門資格と保有施設の安全性|ブロードリンクhttps://www.broadlink.co.jp/safety/ [broadlink.co.jp]
認証基準 ISO/IEC 27001:2013 JIS Q 27001:2014
取り消されちゃうかもね。
Q27001は継続的なプロセス改善をすることが要求されているので、事故報告書出して是正処置って効果が認められれば認証機関にもよるけど取り消されないかも(と、いってみる)。実際にやらかしたことは無いのでわからない。
基本的にその手の認証は、管理体制の認証であって、結果の認証では無いので、管理体制がしっかりしてれば、結果に不具合があっても本来取り消されることは無いはず
なぜか日本では、管理体制の認証に結果まで求めるアホが多いが
発生している結果は管理体制の不備を示唆するに十分だと思うが
昨夜出た朝日新聞記事によると、そもそも証明書は発行されていなかったそうで。
ブロードリンク、破壊完了確認せず 持ち出されたHDD [asahi.com]
同社がHDDを引き取ってから7カ月余たつが、県にはいまだに消去作業の「完了証明書」が届いていない。
ん?この件、県に証明書を発行する(すべき)のはブロードリンクじゃなくて富士通リースだぞ。
富士通リースからサーバーとhddを借りて、県が返却時には富士通リースが読みだせないよう廃棄する
って契約なんだから。なんで知事の言う、「知事が委託先から持ち出されるのは想定外」ってのは正しいのよ。県と富士通リース間では守秘義務や情報漏洩の防止契約が入ってるはずだから、富士通リース自身が破壊処理しないとダメ。(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
県はあくまでも「富士通リースとの契約で富士通リースが処理する」契約をしているだけ。で、これを富士通リースが勝手に破棄を第三者委託した場合、その時点で契約違反だし情報流出が起きている。
情報流出が判明したのが、情報流出のタイミングからさらに盗難→転売された後ってだけの事
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
コレでしょ。勝手に外部の業者に委託したりなんかしないよ。そもそも7か月も放置って県側に確認する気ないじゃん。
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)ない。上記解約がなされていたなら、報道や知事発言と矛盾する。
https://www.msn.com/ja-jp/news/national/%E3%81%84%E3%81%BE%E3%81%A0%E5... [msn.com]
県によると、転売された18個のHDDが使われていたサーバーは、富士通リースから借りていた。県と同社は「(リース期間終了後には同社が)データ復旧が不可能な方法で消去作業を行う」との契約を交わしていたという。
そもそもブロードリンクが実際の消去作業を請け負っていたこと
https://www.pref.kanagawa.jp/docs/fz7/prs/r0273317.html [kanagawa.jp]
原因・富士通リース株式会社横浜支店から作業を請け負った株式会社ブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが横領可能な状態にあったことが一次的な原因です。
再発防止策等・県では従前より情報漏洩防止のため、重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合、県内部の初期化作業でデータを全て消去し、さらにリース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としています。・今後は、情報漏洩防止を徹底するため、契約満了時には、本県職員が立ち合いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行います。
「リース会社を信頼して作業を委託したが、今回の事案で信頼できなくなったから今後は立ち合います(要約)」ということなので、悪くないとは言ってないみたいです。ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
>ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
で、その結果あと何年かしたら、なんでこんなの見てなきゃいけないんだろうって思いながらその作業を見守る作業が職員の中に発生するわけですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
誰が悪いか (スコア:1)
立場的にはFが一番まずいね。
Re: (スコア:0)
データのオーナーである神奈川県の責任が一番大きい
Re:誰が悪いか (スコア:0)
廃棄委託先でのデータ消去の確認を証明書の提出を求めるとかでするように散々言われてるのに、知事が委託先から持ち出されるのは想定外とかドヤ顔で言ってて笑った。
知事会見での県は悪くない感がすごかった・・・
Re:誰が悪いか (スコア:1)
当然証明書は発行されてると思う。その証明書が嘘だったんでしょう。
ここの業者使ってたとこは気が気じゃないだろうな。
この業者じゃないけど、うちの廃棄は大丈夫なんだろうか…。
きっと全国のシステム管理者が疑心暗鬼になってるはず。
Re:誰が悪いか (スコア:2, 興味深い)
うちの会社は証明書に破壊した写真を添付(ちゃんとHDDのシリアルナンバーも映っている)するところを使ってます。
今回のところはどこまでやってたんでしょうね?ホムペの該当ページが見れなくなってるのでわかりませんが
証明書だけでは安心できないと思ってる人や会社って意外と多いんでしょうね
Re: (スコア:0)
日本には善人なんかいない、人を見たら泥棒と思え、を実践しないといけない世の中なんだね…
Re: (スコア:0)
> 日本には善人なんかいない
そんな極端な話をしなくても。
泥棒がいなくても、過失でデータが漏れるということもあり得ます。
万一の際に、「ほら、証明書をもらってるんだし、自分たちには責任ないんですよ」って言って済ませられるだろう、
違約金なり賠償金なりをもらえばそれでいいだろう、その可能背が多少の抑止力になればそれでいいだろう、
と思えば証明書だけでいい。
でも、それだけでは被害を埋め合わせられない、と考えれば、
証明書だけではない何かを求めることになるのは当然だと思います。
Re: (スコア:0)
日本には日本人しかいないワケじゃないのにね。
日本人は日本にしかいないワケじゃないのにね。
Re: (スコア:0)
たぶん自分が善人でないと証明したかっただけかと
#察してあげなよ
Re: (スコア:0)
事業内容のページからそれらしいページに飛べますよ
https://www.broadlink.co.jp/business/pc/erasing.html [broadlink.co.jp]
「データ消去作業完了報告書」の発行
各HDD毎の詳細な消去ログ情報が記載された「データ消去レポート」も発行
破壊前と後の証明写真提出
と書かれていますが、要求されなかったから発行されなかった?
転売してるのなら破壊写真なんて取れるわけないから、証明書自体作れないはずなので富士通リースがちゃんと確認してないんじゃないかな?
#もし発行されていたら破壊写真とかどうしたのか知りたい
Re: (スコア:0)
他のHDDの破壊写真が添付されてても気がつかないような案件(顧客)を狙ったのかも。
大量にあったら目検でチェックするのも結構なコストだし。
Re:誰が悪いか (スコア:2)
[SAFETY] 安全・安心への取組 − 専門資格と保有施設の安全性|ブロードリンク
https://www.broadlink.co.jp/safety/ [broadlink.co.jp]
取り消されちゃうかもね。
Re: (スコア:0)
Q27001は継続的なプロセス改善をすることが要求されているので、事故報告書出して是正処置って効果が認められれば認証機関にもよるけど取り消されないかも(と、いってみる)。実際にやらかしたことは無いのでわからない。
Re: (スコア:0)
基本的にその手の認証は、管理体制の認証であって、結果の認証では無いので、
管理体制がしっかりしてれば、結果に不具合があっても本来取り消されることは無いはず
なぜか日本では、管理体制の認証に結果まで求めるアホが多いが
Re: (スコア:0)
発生している結果は管理体制の不備を示唆するに十分だと思うが
Re:誰が悪いか (スコア:2)
昨夜出た朝日新聞記事によると、そもそも証明書は発行されていなかったそうで。
ブロードリンク、破壊完了確認せず 持ち出されたHDD [asahi.com]
Re: (スコア:0)
ん?この件、県に証明書を発行する(すべき)のはブロードリンクじゃなくて富士通リースだぞ。
富士通リースからサーバーとhddを借りて、県が返却時には富士通リースが読みだせないよう廃棄する
って契約なんだから。なんで知事の言う、「知事が委託先から持ち出されるのは想定外」ってのは正しいのよ。
県と富士通リース間では守秘義務や情報漏洩の防止契約が入ってるはずだから、富士通リース自身が破壊処理しないとダメ。
(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
県はあくまでも「富士通リースとの契約で富士通リースが処理する」契約をしているだけ。
で、これを富士通リースが勝手に破棄を第三者委託した場合、その時点で契約違反だし情報流出が起きている。
情報流出が判明したのが、情報流出のタイミングからさらに盗難→転売された後ってだけの事
Re: (スコア:0)
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
コレでしょ。勝手に外部の業者に委託したりなんかしないよ。
そもそも7か月も放置って県側に確認する気ないじゃん。
Re: (スコア:0)
>(契約時に富士通リースが破棄を第三者委託を伝えて契約書に盛り込んでいる場合を除く)
ない。
上記解約がなされていたなら、報道や知事発言と矛盾する。
https://www.msn.com/ja-jp/news/national/%E3%81%84%E3%81%BE%E3%81%A0%E5... [msn.com]
県によると、転売された18個のHDDが使われていたサーバーは、富士通リースから借りていた。県と同社は「(リース期間終了後には同社が)データ復旧が不可能な方法で消去作業を行う」との契約を交わしていたという。
そもそもブロードリンクが実際の消去作業を請け負っていたこと
Re:誰が悪いか (スコア:1)
https://www.pref.kanagawa.jp/docs/fz7/prs/r0273317.html [kanagawa.jp]
原因
・富士通リース株式会社横浜支店から作業を請け負った株式会社ブロードリンクの社員管理・作業管理体制や事故防止対策の不備により、ハードディスクが横領可能な状態にあったことが一次的な原因です。
再発防止策等
・県では従前より情報漏洩防止のため、重要情報が格納されている機器(サーバー等)をリース満了によりリース会社に返却する場合、県内部の初期化作業でデータを全て消去し、さらにリース会社が「データ復旧が不可能とされている方法によりデータ消去作業を行うものとする」としています。
・今後は、情報漏洩防止を徹底するため、契約満了時には、本県職員が立ち合いのもと、データ記憶装置を物理破壊させるよう、契約の見直しを行います。
「リース会社を信頼して作業を委託したが、今回の事案で信頼できなくなったから今後は立ち合います(要約)」ということなので、悪くないとは言ってないみたいです。
ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
Re: (スコア:0)
Re: (スコア:0)
>ただ、廃棄まで立ち合う運用している事業者・自治体ってセキュリティ意識がよほど高くなければ存在していないと思いますけどね。
で、その結果あと何年かしたら、なんでこんなの見てなきゃいけないんだろうって思いながら
その作業を見守る作業が職員の中に発生するわけですね