HDD破壊後に台数確認なく、異常気付かず - ブロードリンク

事件の背景には、一部を除き、処理の実施状況についてほとんどチェックが行われていなかったことがある。

同社は「個々の機器に管理番号とバーコードラベルを貼付し、入荷から出庫まで個体管理をしている」と説明しているが、実際はハードディスクを取り出した際に台数をチェックし、ラベルを貼付しているに過ぎなかった。

データの削除や破壊記録を残す契約となっていた機器や、リユースされる機器を除き、物理的に破壊することとなっている機器は、仕分けされた時点で処理が行われたものとして扱われていた。その後処理が実際に行われたかチェックすることなく、処理の完了報告が行われていたという。

セキュリティ対策として32台の監視カメラを設置、録画していたが、インシデント発生時の確認目的であり、不正行為の監視は行われていなかった。録画記録が残っている期間や対象区域などはセキュリティを理由に明らかにしていない。

また入退室時は、指紋認証やログの記録を実施。身の回り品の検査なども行っていたとしているが、時間帯によってチェックが行われないなど、実効性に乏しく、持ち出しが容易な状況だった。

（Security NEXT - 2019/12/12 ）ツイート