特集

データは如何にして破棄されるべきか

今月も官公庁における文書管理の話題が世間を騒がせました。

一つは、総理大臣主催の桜を見る会を巡る一連の問題、特に招待者名簿の破棄やその復元を巡るいざこざ、もう一つは神奈川県庁に端を発したHDDの不正転売問題です。
どちらも情報セキュリティや文書管理の側面からも興味深い論点があるため、考えてみたいと思います。


「桜を見る会問題」はそもそも招待者の適切性やそれに伴う公職選挙法違反の疑い、あるいは反社会的勢力の参加などが問題の発端とされています。
招待者名簿があればそれらの評価・レビューが可能ではありますが、「会の終了後、破棄されていて、データの復元も不可能」というのが政府の正式な回答となっており、これ以上の検証が進められなくなっています。
ここで疑惑の本質に深く触れたり評価することはしませんが、それを差し引いても文書管理の良し悪しとデータ復元に対する技術的な知見の無さは目に余るような気がしてなりません。

今年の桜を見る会が開催されたのは4月13日で、名簿の破棄が行われたのが5月9日とされていますが、建前上「会の終了で目的を終えたことから遅滞なく破棄する」ということであれば、終了後の平日である15日やせめて連休前までには破棄作業が行われるのがあるべき姿だったのではないかと感じざるを得ません。
一方でそもそも「目的を終えたことから遅滞なく破棄する」ことが正しい運用なのかどうかは評価が必要で、例えば「前年招待したけど来なかった人」を翌年はどうするかなど、少なくとも数年保存しておく意義も多少なりともあるようにも思いますが、どうなのでしょうか。
一般に「文書管理規程を整備すること」「それに則った運用を適切に行うこと」の重要性と共に、「それぞれに合った適切な保存期間を設定すること」も重要なことであって、行政のあり方という意味ではこれらを総合的に考えて評価をする必要があるのではないかと思います。
また破棄された電子ファイルの復元を巡って政府と野党のやり取りがありましたが、野党側の「復元できるはずだ」という主張に対して政府側の「不可能だ」という答弁がどこまで適切で正しいのかという点はよく考える必要があります。
政府側の答弁では「内閣府ではシンクライアントシステムが構築されている」ので復元は不可能だということになっており、野党側の反論は「不可能なはずはない」という以上の追求ができていないというのがやや滑稽ではあります。
もしかしたら野党側は普通のクライアントPCと同じように多少の金と手間をかければ復元できると思っているのではないかと感じられてしまいますが、本当にきちんとしたシンクライアントシステムが構築されているのであれば、そのストレージはある程度複雑なRAID構成になっているのが常ですし、復元作業のためにストレージを停止しなければならず、つまり内閣府の他の通常業務も数日という単位で止めなければならないというのが実態なのではないかと考えています。ましてや削除から半年以上が経過してるとなると、問題のデータがどこまで存在しているのかは未知数ではないかというのも技術的な見地からは感じます。テープやLTOへのバックアップがあったとしても複数回上書きされている可能性を考えると、低めの未知数ではないかと感じます。
価値判断としてどこまで単純化できるのかは怪しいのですが、技術的な復元の可能性もさることながら、場合によっては内閣府の一部か全部の業務を数日単位で止める可能性があることから、簡単に「やってみよう」という類のものではないことは指摘しておきたいと思います。


他方、神奈川県庁に端を発したHDDの不正転売問題もまた似たような興味深さを持つ事件です。
リースアップしたサーバのHDDが正しく処分されず、データ消去・廃棄を依頼された業者の従業員によって窃取され、オークションサイトで転売されたという事件です。
こちらの場合は、おそらくサーバ停止後ほぼそのままの状態で外部への流出が行われたため、オークションで購入した人の手によって比較的簡単にデータの復元をすることができた、というのが技術的見地からの真実ではないかと感じています。
おそらく内閣府の「桜を見る会の招待者名簿」を復元することに比べると、技術的な難易度は格段に低いと思われます。
古くからこのような廃棄業者に対して作業報告書・証明書を提出するように求める例はありますが、それすら信用できないという事態になると自治体の職員自らが立ち会いをして確認したり、そもそも自らが廃棄作業をしなければならなくなります。
ただそれもサーバがリース契約の場合は所有権の問題から簡単に行かないことも多いですし、そこまで難しい作業ではないもののある程度の量があると手間と時間とスペースと機材やノウハウが必要になってきてしまい、どこまで自治体の仕事なのか、税金をかけるべきなのかという議論はどうしても生じてしまいます。


どちらの事例を見ても、セキュリティの基本にあるのは「適切に設定されたルール」を「適切に運用していく」ことにあり、「関わる人を如何に信用して」「必要なところに必要なコストをかける」というところだと感じます。
そのどこかが疎かになったりバランスが崩れた時にセキュリティインシデントが起きるということなのかもしれません。