2019年12月6日

地方自治体のシステムやデータに受難続き：①『自治体専用IaaSシステム「Jip-Base」に障害』（HPEの件とは無関係）／②『神奈川県のシステムのリース終了時にHDDが正しく消去されず』→廃棄受託の「ブロードリンク」の社員が、転売に関与と各紙報道

（追記）データ全消失のうわさは否定 https://www.itmedia.co.jp/news/articles/1912/06/news101.html SASのSSDを使う http://xn--h9j8c2b7838d.com/Agent/SAS_SSD.html

クラウド Jip-Base シンクライアント SAS SSD ブロードリンク富士通 HPE 行政文書 IaaS 地方自治体

pt20121
6306
8
6
0
0

前へ 1 2 3

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve 言い訳というか、運用ルールの話を思い出して欲しいけど、そういうルールに基づいて正本のみを扱えるカツカツベースだと「ストレージの制限やバックアップの容量もあるんで正本のみ、で、期限切れは捨てるルール」であれば、当然「期限切れ残骸があったら粛々削除」が通る訳ですよね。

2019-12-05 03:11:37

のりたまん(丸美屋) @marumiyaumasi

@YM0MT @bookskeepmind @UBgMjxCRpwg8xve そう。廃棄については理解できるんですよ。ただ、 "一般職員が業務に使用できるものではないことから、組織共用性に欠いている" という理由づけは酷いw

2019-12-05 03:13:08

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve まあ、バックアップにしかない＝規約の保存期間越え＝本来ならば一般職員どころか誰も使えない様に削除すべき＝普通に一般職員が使えない死んだデータの死骸…ってことをショートカットしたんじゃないかな？酷いカットだけどwww

2019-12-05 03:16:47

のりたまん(丸美屋) @marumiyaumasi

@YM0MT @bookskeepmind @UBgMjxCRpwg8xve うん。酷い理由ですw

2019-12-05 03:17:51

のりたまん(丸美屋) @marumiyaumasi

@YM0MT @bookskeepmind @UBgMjxCRpwg8xve 組織共用性って行政文書の要件なんですよ。つまりバックアップデータは皆んなで共用できる状態ではなかったきら要件に該当しないって筋かと。酷い悪筋です。

2019-12-05 03:19:22

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve 組織では使えない…ってか期限切れは使っちゃいけない…とも言える訳で。期限切れでなければ、職員の必要に応じて戻す手順もある…けど、期限切れについては本来消えてないといけない訳で「使えない様に消す」べきが抜けていたかと。

2019-12-05 03:23:23

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve 事務系システムは個人情報の有無、特にマイナンバーの有無で社内セキュリティ遵守レベルが変わってくる訳で、その制限も年々厳しくなっていて。そんな状況で迂闊に古いデータに住所氏名があったりしたらテンヤワンヤになる⇒古いのは閲覧禁止＋削除かシステム構成変更というか。

2019-12-05 03:28:08

のりたまん(丸美屋) @marumiyaumasi

@YM0MT @bookskeepmind @UBgMjxCRpwg8xve 当該名簿は以前調べたら保存期間1年未満になっていたんですよね。一年未満って、1日でも365日でもいいわけで。

2019-12-05 03:31:05

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve 名簿って、普通に個人情報の塊で、用途(例えば催しが終わったら出欠確認する)が終わったら速やかに削除ってのが多いからなあ。「あの子は来たんだよな」とか思い出に耽る材料でもないしwww ってか、社外者名簿とか、普通に迅速削除。会社だと社員にも秘匿なサーバに置いたりするセンシティブなデータ。

2019-12-05 03:39:57

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve 私はIT屋として、あの削除対応については「なんで指摘されるまで社外者(政府でいえば民間人)個人情報データ残してたんだ？データ単位のライフサイクルプランニングしてないだろ？」って逆方向な「残っていたこと」に苛立ちを覚えたりする訳ですがwww

2019-12-05 03:45:09

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve 一年未満指定＝用途終了時の速やかな削除(正本削除とそれに合わせての複写すべて削除)が当然の運用なんです。センシティブな個人情報を運用設計で定めた寿命以上残すと、運用設計への逸脱＝社内規定違反に問われることもあります。 ⇒

2019-12-05 19:53:31

闇を見た @YM0MT

@marumiyaumasi @bookskeepmind @UBgMjxCRpwg8xve ⇒ シンクライアントの導入の目的に「ローカルPCに期限外文書の保持の抑制」というのもあり、基本的に従業者によるデータライフサイクル混乱を防止する訳です。シンクライアントなら残っている…そういうシンクラもあるけど、ガバナンスが通らなくなるので、定期的インベントリがあったりww

2019-12-05 19:55:58