データ消去ミニ情報
こちらのコーナーでは、データ消去にまつわるちょっとした情報や話題をお届けします。
- 一部の内容は旧バージョンについて書かれたものですが、最新の「ディスクシュレッダー」「サーバーディスクシュレッダー」「USBディスクシュレッダー」についても、ほぼそのままあてはまります。
2025.01.31 パソコンやサーバー以外でも情報漏えいのリスクがあります
2022.06.29 NISTって何?
2022.05.31 「ドリルで穴をあける」だけでは危険です SSD編
2020.08.05 レンタル機でも「自分で作ったデータは自分で消す!」は鉄則です!!
2019.04.01 自分で作ったデータは自分で消す!- これ、鉄則です!!
2018.09.18 廃棄パソコン/サーバーからの情報漏えい事件が起きています
2017.11.22 UEFIって何?
2017.01.23 消去ソフトのメリットって何?
2016.02.29 廃棄食品の横流し問題 - 廃棄パソコンも他人事ではありません
2015.05.20 マイナンバー制度では、ソフトウェアによるデータ消去は必須です!
2015.03.02 使っていないIT機器を放置していませんか?
2015.01.22 「ドリルで穴をあける」だけでは危険です
2015.01.22 SSDって何?
パソコンやサーバー以外でも情報漏えいのリスクがあります
情報漏えいは、廃棄したパソコンやサーバー以外でも起きています。たとえば最近では、次のような情報漏えい事件が公表されました。
市立病院における個人データの漏えいのおそれについて
(気仙沼市立病院 公式発表資料へのリンクです)
情報漏えいの発端となった機器は、パソコンやサーバーなどのIT製品ではなく、店舗で見かけるPOSレジです。発表資料には書かれていませんが、おそらく廃棄されたPOSレジには、データが記録できるように、HDDやSDカードなどの記録メディアが記憶装置として搭載されていたと思われます。
こうしたHDDや記録メディアが使われている機器には、POSレジのほかにも、監視カメラやドライブレコーダーがあります。パソコンやサーバーと同様、記憶装置には重要なデータが保存されている可能性がありますので、廃棄する際は注意が必要です。
ディスクシュレッダーを使って、直接これらの機器を消去することは難しいですが、機器からHDDや記録メディアを取り出し、パソコンにUSB接続することによってUSBディスクシュレッダーなどでの消去が可能と思われます。
この機会に、業務で使用している機器にHDDや記録メディアなどが使われていないか確認してみてはいかがでしょうか。
NISTって何?
情報セキュリティに携わる方であれば、「NIST」という言葉を目にする機会が増えているのではないでしょうか。
NIST(国立標準技術研究所 NIST:National Institute of Standards and Technology)は、米国の工業規格や科学技術の分野で標準化を担う総合研究機関です。
そのNISTが積極的に情報セキュリティ分野に関わりを持つようになったのは、2001年の同時多発テロ事件以降といわれています。米国政府がセキュリティへの取り組みを強化し、その結果、NISTも多くの提言やガイドライン策定を行うようになったと考えられます。
日本への影響も年々増しており、ITシステム導入に際して米国防総省が準拠を求めるNIST SP800-171や、NISTが規定したFIPS認定の暗号アルゴリズムなど、対応を迫られる場面が多くなっています。
データ消去の分野も無関係ではありません。たとえば、総務省が2020年12月に改訂した「地方公共団体における情報セキュリティポリシーに関するガイドライン」でも示された消去手段に関する分類は、NISTが NIST SP 800-88 Rev.1(下記参照)で示す分類(破壊:Destroy、除去:Purge、消去:Clear)と同じであり、影響を強く受けたことをうかがわせる内容になっています。
- NIST Special Publication 800-88 Revision 1
媒体のデータ抹消処理(サニタイズ)に関するガイドライン
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000094547.pdf
※IPA(独立行政法人情報処理推進機構)による翻訳監修
こうした流れを受けて、近年、HDDやSSDからの情報漏えい対策で、NISTが提唱する消去レベルに注目するユーザが増えています。ディスクシュレッダー・シリーズでもパソコン用の「ディスクシュレッダー7」(スタンダートとスーパーの場合)やPCサーバー用の「サーバーディスクシュレッダー2」において、消去レベル「Clear」「Purge」を実現しています。
(2023.06.07 改編)
「ドリルで穴をあける」だけでは危険です SSD編
HDDと同様に、SSDも穴をあけただけでは、情報漏えいの防止策としては不十分です。
なぜなら、SSDでは、基板上に複数のメモリチップが搭載されている場合が多く、それらすべてのチップ内のフラッシュメモリ部分を破壊しないと完全に消去したことにならないからです。
特に2.5インチのSSDの場合、筐体のサイズこそHDDと同じですが、いくら穴をあけても、基板だけが破壊され、実はメモリチップは無傷だった、いうことも十分に考えられます。
最終的に物理破壊する場合でも、まずは、手軽で且つ確実に情報漏えいを防止することができるデータ消去ソフトの利用をお勧めします。
レンタル機でも「自分で作ったデータは自分で消す!」は鉄則です!!
在宅勤務などのテレワークを始めるにあたって、パソコンをレンタルした方も多いと思います。
そうしたレンタル機においても返却時のデータ消去は極めて重要です。しかしながら、たとえレンタル会社からデータ消去がサービス提供されていたとしても、安心してはいけません。
2019年12月に発覚し、マスコミでも大きく取り上げられた自治体のHDD流出問題を思い出してください。
リース会社から自治体のHDDのデータ消去や廃棄を委託されていた外部業者が、それらの作業を怠り、その結果、個人情報が残ったままのHDDが中古市場に売りに出されてしまったという問題です。
もちろん、これは外部業者を信用してはいけない、というのではありません。
本来は、自治体がHDDを手放す前に自らの手で行うべきだったデータ消去の作業 を外部業者に委ねてしまった、このことに根本的な原因があるのは明らかです。つまり、情報漏えい防止に取り組む上での基本的な姿勢に誤りがあったのです。
自ら作ったデータは自ら消す。レンタル機でも鉄則です!
自分で作ったデータは自分で消す! - これ、鉄則です!!
データはその利用者が自らの責任で消去すべきものです。
この情報漏えい対策の鉄則ともいうべき考えに基づき、さまざまな行政機関や業界団体が情報セキュリティポリシーに関するガイドラインや基本方針を定めて提言や注意喚起を行っています。今回はその代表的な例をいくつか紹介したいと思います。
総務省
地方公共団体における情報セキュリティポリシーに関するガイドライン
【令和5年3月版】
機器の廃棄等
情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
経済産業省/環境省
小型家電リサイクル法 基本方針
【改正 平成29年4月5日】
パーソナルコンピューターや携帯電話端末・PHS端末については、消費者及び事業者が排出する段階で、自ら個人情報の削除に努める
文部科学省
教育情報セキュリティポリシーに関するガイドライン
【令和元年12月版】
機器の廃棄等
教育情報システム管理者は、機器を廃棄又は、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
一般社団法人電子情報技術産業協会(JEITA)
パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関する留意事項
【2018年10月改訂】
ストレージ上のデータについては、"守るべき情報は自分で守る"という自己責任の原則に則り、あくまでもユーザの責任で管理されるべきものである。
個人情報保護委員会
マイナンバー制度でもマイナンバーを扱う機器の情報漏えい対策としてデータ消去が必須とされています。
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
【令和2年5月25日最終改正】
特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用することが考えられる。
ガイドラインや方針が示すように、自らが消去を行うには、誰もが容易に使いこなせるツールが不可欠です。ディスクシュレッダー・シリーズは、わずか数回のキー操作でデータ消去が実行できるよう分かりやすいインターフェースを備えています。まさに情報セキュリティポリシーに則した製品であるといえます。
(2023.06.07 改編)
廃棄パソコン/サーバーからの情報漏えい事件が起きています
ここ数年だけを見ても、次のような事件が公表されています。
- 神奈川県庁 2019年12月発表
リース契約満了により返却したハードディスクの盗難について - 埼玉県庁 2018年8月発表
個人情報を含む内蔵型ハードディスクの紛失について - 美濃加茂市役所 2017年2月発表
廃棄パソコンのハードディスク流出について
民間企業を含め、こうした事件は公表されない例も多数あると思われますので、依然として日常的に廃棄パソコンからの情報漏えいが起きていると考えられます。
今回紹介した例は、いずれも廃棄業者に依頼したハードディスクが適切な消去処理をされないまま、中古品として市場に流出してしまったケースです。
本来、パソコンのデータはその利用者が自らの責任で消去すべきものです。したがって、業者に廃棄を依頼する前に自分たちで消去作業を行っていれば、防ぐことができた事件と言えます。
この機会に、今一度、自社のデータ消去の手順やツールを見直し、パソコン廃棄のプロセスがどのようになっているのか、確認してみてはいかがでしょうか。
(2023.02.08 改編)
UEFIって何?
ディスクシュレッダー6では、BIOSに代わる新たなファームウェア(※)規格として普及が進むUEFIに完全対応しました。
BIOSは聞いたことあるけど、UEFIって何? とお思いの方も多いのではないでしょうか。
UEFI(Unified Extensible Firmware Interface)の主な役割は、BIOS(Basic Input Output System)と同じで、CPUやメモリ、HDD、キーボード、マウスなどの周辺機器の基本的な設定情報を管理します。
BIOSと比べて次のような特長があります。
- 大容量化に対応
BIOSでは2.2TBの制限があった起動ドライブに3TB以上の大容量HDDを使うことができるようになりました。 - グラフィカルなユーザーインターフェース
多くのUFFIでGUIが採用されています。マウス操作が可能になり、各種の設定変更が容易になりました。
このような特長を背景に、Windowsパソコンはもとより、今やWindowタブレットやIntel Macと呼ばれるMacBookやiMacにもUEFIは使われています。
UEFIの一般的な知名度はまだまだ低いと思われますが、搭載されているパソコンは着実に広がっています。現在は、BIOS互換モードをもつUEFIが主流ですが、2020年には互換モードが削除され、完全にUEFIへ移行するといわれています。
※ファームウェアとは
ハードウェアを制御するために、あらかじめ電子機器に組み込まれたソフトウェアのこと。通常はROM化されています。
消去ソフトのメリットって何?
ディスクシュレッダーのような消去ソフトには、他の消去方法と比べてどのようなメリットがあるのでしょうか。
データ消去の種類
まずはその前に、HDDのデータ消去にはどのような方法があるのかをおさらいしておきたいと思います。
ひとくちにデータ消去といってもさまざまな方法があります。代表なものとしては、物理破壊、磁気破壊、上書き消去の3つがあります。
- 物理破壊
文字通り、装置をつかって物理的にHDDを破壊します。穴を空けたり、加圧して変形させたりして、データの読み取りが不可能な状態にし、情報の漏えいを防ぎます。 - 磁気破壊
HDDのプラッター(ディスク)に強力な磁場をあてて磁気面を破壊します。HDDの見た目はそのままですが、データの読取が不可能になるため、情報が漏えいする恐れがなくなります。 - 上書き消去
ソフトウェアによる消去方法です。HDDの全領域に対して、乱数などの無意味なデータを上書きすることで、元のデータの痕跡が消え、復元が困難になります。
消去ソフト(上書き消去)のメリット
それでは次に、これらの消去方法を比較しながら、上書き消去の利点を考えてみたいと思います。
- 環境にやさしい
上書き消去、物理破壊、磁気破壊の中で唯一、HDDのリユースを可能にする方法が消去ソフトによる上書き消去です。物理破壊も磁気破壊もHDDを何らかの形で破壊してリユースできない状態にします。壊されたHDDは、廃棄物として処理するほかありません。 廃棄物を排出しない、エコである(環境に配慮している)といった点が消去ソフトを利用する最大のメリットであると言えます。 - 手間なし
消去ソフト(ディスクシュレッダー)の場合、CD-ROMをドライブにセットし、PC本体の電源を入れ、あとは数回のキー操作だけで消去処理が始まります。一方、専用装置を使う物理破壊や磁気破壊では、事前準備として、PCから HDDを取り出す必要があったりと消去開始前に手間がかかります。また、自前の道具で破壊する場合、たとえば、ドリルで穴をあけたり、ハンマーや金づちで叩いて変形させるといった場合は、かなりの力仕事となり、危険もともないます。手軽さの面では、消去ソフトが圧倒しています。 - 低コスト
導入コストの面でも、消去ソフトは有利です。企業ユースでも数万円程度で 入手が可能で、数十万円もする物理破壊や磁気破壊の装置とは大きな差が あります。消去後のコストにも注目です。物理破壊や磁気破壊したHDDは廃棄物となりますので、その処理にはさらに費用がかかります。消去ソフトによる上書き消去であれば、消去後のHDD(PC)を中古業者に買い取ってもらえる可能性がありますので経済的です。
| 物理破壊 | 磁気破壊 | 上書き消去 | |
|---|---|---|---|
| 使用するツール | 専用装置 ドリル/ハンマーなど |
専用装置 | データ消去ソフト |
| コスト | 専用装置:高 ドリル/ハンマー:低 |
高 | 低 |
| 手軽さ | × HDDの取出しが必要 |
× HDDの取出しが必要 |
○ |
| 環境への配慮 (HDDの再利用) |
× | × | ○ |
| 消去にかかる時間 | ○ 速い |
○ 速い |
△(*1) 遅い |
消去ソフト(上書き消去)のデメリット
一見、良いことずくめに思われる上書き消去ですが、残念ながら弱点が存在します(*1)。
- 消去に時間がかかる
上書き消去の消去時間は、HDDの容量や上書きの回数によって比例して増えていきます。HDDの大容量化が進む昨今、処理時間の増加は顕著です。
物理破壊や磁気破壊と比べて処理に時間がかかる、という理由で上書き消去を敬遠する向きがあるのは事実です。データ消去を専門に行うサービス業者などでは、ますますこの傾向が強くなっています。
しかしながら、一般的な企業での利用においては、見方を変えることができると考えます。
上書き消去の場合、処理がはじまればその場を離れることができます。つまり、他の業務の合間に消去作業を行うことができるのです。消去作業に専念する必要がないのです。こういった点は上書き消去のメリットと言えるのではないでしょうか。
(2017.05.09 改編)
廃棄食品の横流し問題 - 廃棄パソコンも他人事ではありません
まずは自社内でデータ消去を
今、廃棄食品の横流し問題が世間を騒がせていますが、廃棄パソコンの取扱いも決して他人事ではありません。
過去には、企業から廃棄の依頼を受けた業者が、排出されたパソコンをデータ消去などの適切な処置を行うことなく、そのまま中古パソコンとして転売し、その結果、情報漏えい事件に発展したこともあります。
こうした事件をきっかけに、廃棄パソコンの情報漏えい対策を外部委託していた企業が、万一の場合の安全性を高めるため、一次的な対策として自社でも消去作業を行うケースが見られるようになりました。
業者選びは慎重に
一方でさまざまな制約により、データ消去などの処理を外部の専門業者に依頼せざるを得ない場合もあるかと思います。そこで重要となるのは、やはり業者選びです。
専門業者の選定では、データ消去証明書の発行が適正に行われているかといった点や過去の実績などを考慮し、信頼のおける業者がどうか慎重に見極める必要があります。
「ディスクシュレッダー」のような消去ツールの使用を明確にしているかどうかも判断の目安になります。
マイナンバー制度では、ソフトウェアによるデータ消去が必須です!
2015年10月から始まったマイナンバー制度。
新たに導入された個人番号は、氏名や住所、生年月日といった個人情報と紐付けされました。そのため、個人番号を含む情報は「特定個人情報」とされ、これまでの個人情報よりも厳重な管理が求められています。
政府が示すマイナンバー対策のガイドライン
たとえば、政府が発表したガイドラインでは、従来の個人情報保護よりも一歩踏み込んだ対策が示されています。
特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、
専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、
復元不可能な手段を採用することが考えられる。
個人番号若しくは特定個人情報ファイルを削除した場合、
又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。
特定個人情報の適正な取扱いに関するガイドライン(事業者編)
※p.59に関連する記述がございます。
必要とされるマイナンバーの情報漏えい対策
ディスクシュレッダーは、まさにガイドラインに示された「データ削除ソフトウェア」に該当する製品であり、必要とされる次の対策を行うことができます。
- 復元不可能な手段で消去
- 消去の記録および保存
ディスクシュレッダーでは、乱数などをメディアの全領域に対して上書きするので、データの復元ができなくなります。また、消去作業ログ機能を搭載しているので、データを消去した実行記録を保存することができます。
マイナンバー運用ルールの整備が不可欠
今後、マイナンバーは利用場面の拡大が予想され、一般企業においても継続的に運用ルールを整備していくことが不可欠とされています。
これを機会に、まずは運用ルールの中心となるデータの廃棄方法や消去ツールの見直しをされてはいかがでしょうか。
(2023.06.07 改編)
使っていないIT機器を放置していませんか?
異動や組織変更などで使わなくなったパソコン、PCサーバー、HDD、USBメモリを社内で放置していませんか?
これらの社内放置は情報漏えいにつながる危険な行為ですので、今すぐ対策をとりましょう。
- ネットワークに接続していないから大丈夫
- 社内にあるのだから情報漏えいの可能性はないのでは?
このようなご意見があるかもしれませんが、はたしてそう言い切れるでしょうか。
過去には社内に放置されたパソコンが盗難にあい、情報漏えい事件に発展したケースがあります。 また、パソコンの社内移動やHDDやUSBメモリの使い回しの場合でも、データ消去などの適切な処理を怠った結果、 そこから部外秘であった人事データや顧客情報が漏れてしまった例もあります。
コンプライアンスやIT資産管理を重視する企業では、情報機器の導入や廃棄の記録だけでなく、 データ消去のプロセスを加えて、より一層管理を強化しようとしています。
放置されたパソコンやHDD、USBメモリに対して、「社内にあるから大丈夫」という認識は通用しません。安心安全の第一歩はデータ消去です。
(2023.06.07 改編)
「ドリルで穴をあける」だけでは危険です
データ消去にまつわる誤解の1つに「HDDを物理的に破壊すると消える。」というものがあります。たとえば、ドリルで穴をあけるといった方法です。
たしかに穴をあけることでHDDは使用できなくなります。しかしながら、穴をあけただけでは、データを消去したことにはなりません。
なぜなら、HDDの磁気面にはデータが記録されたままだからです。
ディスクシュレッダー再入門では、このような誤解を解くとともに、ディスクシュレッダーの必要性や威力を考察しています。
ディスクシュレッダー再入門 誤解5:HDDを物理的に破壊すると消える。
SSDって何?
ディスクシュレッダー5では、SSD搭載パソコンの消去が可能になりました。では、SSDとはいったい何でしょうか?簡単におさらいしたいと思います。
SSD(Solid State Drive)は、記憶媒体にフラッシュメモリを利用した装置で、次のような特長があります。
- データ転送速度が速いため、読み書きが高速。
- 稼働部分が少ないため、動作音が静かで消費電力が低い。
- 振動や衝撃にも強く、耐久性が優れている。
こうした特長を生かして、ここ数年、HDDに代わる記憶媒体としてノートパソコンを中心に標準搭載が進んでいます。ある調査では、新規導入された業務用パソコンの約3割がSSD搭載という結果が出ています。
もしかしたら、すでに貴方のパソコンもSSDを搭載しているかもしれません。この機会にお使いのパソコンがSSDかどうかをパソコンの仕様書などで確認されてはいかがでしょうか。
実は、ディスクシュレッダーの動作確認プログラムを用いるとSSDかどうかを簡単に確認することができます。消去対象のディスク名に「SSD」と表示されますので一目瞭然です。ぜひお試しください。
- Home
- データ消去ミニ情報
