データ消去ミニ情報

こちらのコーナーでは、データ消去にまつわるちょっとした情報や話題をお届けします。

  • 一部の内容は旧バージョンについて書かれたものですが、「サーバーディスクシュレッダー2」についても、ほぼそのままあてはまります。
もくじ

2020.01.10 自分で作ったデータは自分で消す!- これ、鉄則です!!
2020.01.10 廃棄サーバーからの情報漏えい事件が起きています
2017.03.09 消去ソフトのメリットって何?
2017.01.13 使っていないサーバーの放置は危険です!
2017.01.13 マイナンバー制度では、ソフトウェアによるデータ消去は必須です!

自分で作ったデータは自分で消す! - これ、鉄則です!!

データはその利用者が自らの責任で消去すべきものです。

この情報漏えい対策の鉄則ともいうべき考えに基づき、さまざまな行政機関や業界団体が情報セキュリティポリシーに関するガイドラインや基本方針を定めて提言や注意喚起を行っています。 今回はその代表的な例をいくつか紹介したいと思います。

総務省

地方公共団体における情報セキュリティポリシーに関するガイドライン
【平成30年9月版】

機器の廃棄等
情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

経済産業省/環境省

小型家電リサイクル法 基本方針
【改正 平成29年4月5日】

パーソナルコンピューターや携帯電話端末・PHS端末については、消費者及び事業者が排出する段階で、自ら個人情報の削除に努める

文部科学省

教育情報セキュリティポリシーに関するガイドライン
【平成29年10月18日策定】

機器の廃棄等
教育情報システム管理者は、機器を廃棄又は、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

一般社団法人電子情報技術産業協会(JEITA)

パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関する留意事項
【2018年10月改訂】

ストレージ上のデータについては、"守るべき情報は自分で守る"という自己責任の原則に則り、あくまでもユーザの責任で管理されるべきものである。

個人情報保護委員会

マイナンバー制度でもマイナンバーを扱う機器の情報漏えい対策としてデータ消去が必須とされています。

特定個人情報の適正な取扱いに関するガイドライン(事業者編)
【平成30年9月28日最終改正】

特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用することが考えられる。


ガイドラインや方針が示すように、自らが消去を行うには、誰もが容易に使いこなせるツールが不可欠です。ディスクシュレッダー・シリーズは、わずか数回のキー操作でデータ消去が実行できるよう分かりやすいインターフェースを備えています。まさに情報セキュリティポリシーに則した製品であるといえます。

廃棄サーバーからの情報漏えい事件が起きています

ここ数年だけを見ても、次のような事件が公表されています。

リース契約満了により返却したハードディスクの盗難について【2019年12月】
(神奈川県庁ホームページへのリンクです)

個人情報を含む内蔵型ハードディスクの紛失について 【2018年8月】
(埼玉県庁ホームページへのリンクです)

廃棄パソコンのハードディスク流出について 【2017年2月】
(美濃加茂市役所ホームページへのリンクです)

民間企業を含め、こうした事件は公表されない例も多数あると思われますので、依然として日常的に廃棄されたサーバーやパソコンからの情報漏えいが起きていると考えられます。

今回紹介した例は、いずれも廃棄業者に依頼したハードディスクが適切な消去処理をされないまま、中古品として市場に流出してしまったケースです。

本来、ハードディスクのデータはその利用者が自らの責任で消去すべきものです。したがって、業者に廃棄を依頼する前に自分たちで消去作業を行っていれば、防ぐことができた事件と言えます。

この機会に、今一度、自社のデータ消去の手順やツールを見直し、ハードディスク廃棄のプロセスがどのようになっているのか、確認してみてはいかがでしょうか。

消去ソフトのメリットって何?

サーバーディスクシュレッダーのような消去ソフトには、他の消去方法と比べてどのようなメリットがあるのでしょうか。

データ消去の種類

まずはその前に、HDDのデータ消去にはどのような方法があるのかをおさらいしておきたいと思います。

ひとくちにデータ消去といってもさまざまな方法があります。
代表なものとしては、物理破壊、磁気破壊、上書き消去の3つがあります。

  • 物理破壊
    文字通り、装置をつかって物理的にHDDを破壊します。穴を空けたり、加圧して変形させたりして、データの読み取りが不可能な状態にし、情報の漏えいを防ぎます。
  • 磁気破壊
    HDDのプラッター(ディスク)に強力な磁場をあてて磁気面を破壊します。HDDの見た目はそのままですが、データの読取が不可能になるため、情報が漏えいする恐れがなくなります。
  • 上書き消去
    ソフトウェアによる消去方法です。HDDの全領域に対して、乱数などの無意味なデータを上書きすることで、元のデータの痕跡が消え、復元が困難になります。

消去ソフト(上書き消去)のメリット

それでは次に、これらの消去方法を比較しながら、上書き消去の利点を考えてみたいと思います。

  • 環境にやさしい
    上書き消去、物理破壊、磁気破壊の中で唯一、HDDのリユースを可能にする方法が消去ソフトによる上書き消去です。物理破壊も磁気破壊もHDDを何らかの形で破壊してリユースできない状態にします。壊されたHDDは、廃棄物として処理するほかありません。 廃棄物を排出しない、エコである(環境に配慮している)といった点が消去ソフトを利用する最大のメリットであると言えます。
  • 手間なし
    消去ソフト(サーバーディスクシュレッダー)の場合、DVD-ROMをドライブにセットし、PC本体の電源を入れ、あとは数回のキー操作だけで消去処理が始まります。一方、専用装置を使う物理破壊や磁気破壊では、事前準備として、PCからHDDを取り出す必要があったりと消去開始前に手間がかかります。また、自前の道具で破壊する場合、たとえば、ドリルで穴をあけたり、ハンマーや金づちで叩いて変形させるといった場合は、かなりの力仕事となり、危険もともないます。手軽さの面では、消去ソフトが圧倒しています。
  • 低コスト
    導入コストの面でも、消去ソフトは有利です。企業ユースでも数万円程度で 入手が可能で、数十万円もする物理破壊や磁気破壊の装置とは大きな差が あります。消去後のコストにも注目です。物理破壊や磁気破壊したHDDは廃棄物となりますので、その処理にはさらに費用がかかります。消去ソフトによる上書き消去であれば、消去後のHDD(PC)を中古業者に買い取ってもらえる可能性がありますので経済的です。
データ消去の比較
物理破壊 磁気破壊 上書き消去
使用するツール 専用装置
ドリル/ハンマーなど
専用装置 データ消去ソフト
コスト 専用装置:高
ドリル/ハンマー:低
手軽さ ×
HDDの取出しが必要
×
HDDの取出しが必要

環境への配慮
(HDDの再利用)
× ×
消去にかかる時間
速い

速い
△(*1)
遅い

消去ソフト(上書き消去)のデメリット

一見、良いことずくめに思われる上書き消去ですが、残念ながら弱点が存在します(*1)。

  • 消去に時間がかかる
    上書き消去の消去時間は、HDDの容量や上書きの回数によって比例して増えていきます。HDDの大容量化が進む昨今、処理時間の増加は顕著です。

物理破壊や磁気破壊と比べて処理に時間がかかる、という理由で上書き消去を敬遠する向きがあるのは事実です。データ消去を専門に行うサービス業者などでは、ますますこの傾向が強くなっています。

しかしながら、一般的な企業での利用においては、見方を変えることができると考えます。
上書き消去の場合、処理がはじまればその場を離れることができます。つまり、他の業務の合間に消去作業を行うことができるのです。消去作業に専念する必要がないのです。こういった点は上書き消去のメリットと言えるのではないでしょうか。

使っていないサーバーの放置は危険です!

クラウドサービスへの移行などで使わなくなったPCサーバーを社内で放置していませんか?

HDDなど情報機器の社内放置は情報漏えいにつながる危険な行為ですので、今すぐ対策をとりましょう。

  • 社内にあるのだから情報漏えいの可能性はないのでは?

このようなご意見があるかもしれませんが、はたしてそう言い切れるでしょうか。

過去には社内に放置されたパソコンが盗難にあい、情報漏えい事件に発展したケースがあります。また、パソコンの社内移動やHDDやUSBメモリの使い回しの場合でも、データ消去などの適切な処理を怠った結果、そこから部外秘であった人事データや顧客情報が漏れてしまった例もあります。

コンプライアンスやIT資産管理を重視する企業では、情報機器の導入や廃棄の記録だけでなく、 データ消去のプロセスを加えて、より一層管理を強化しようとしています。

放置されたサーバーに対して、「社内にあるから大丈夫」という認識は通用しません。安心安全の第一歩はデータ消去です。

マイナンバー制度では、ソフトウェアによるデータ消去が必須です!

マイナンバー データ消去

2016年1月から本格運用が始まったマイナンバー制度。

新たに導入された個人番号は、氏名や住所、生年月日といった個人情報と紐付けされています。そのため、個人番号を含む情報は「特定個人情報」とされ、これまでの個人情報よりも厳重な管理が求められるようになりました。

政府が示すマイナンバー対策のガイドライン

たとえば、政府が発表したガイドラインでは、従来の個人情報保護よりも一歩踏み込んだ対策が示されています。

特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、 専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。

個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。


出典:特定個人情報の適正な取扱いに関するガイドライン(事業者編)
http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
※p.55~p.56に関連する記述がございます。

必要とされるマイナンバーの情報漏えい対策

サーバーディスクシュレッダーは、まさにガイドラインに示された「データ削除ソフトウェア」に該当する製品であり、必要とされる次の対策を行うことができます。

  • 復元不可能な手段で消去
  • 消去の記録および保存

サーバーディスクシュレッダーでは、乱数などをメディアの全領域に対して上書きするので、データの復元ができなくなります。また、消去作業ログ機能を搭載しているので、データを消去した実行記録を保存することができます。

マイナンバー運用ルールの整備が不可欠

今後、マイナンバーは利用場面の拡大が予想され、一般企業においても継続的に運用ルールを整備していくことが不可欠とされています。

これを機会に、まずは運用ルールの中心となるデータの廃棄方法や消去ツールの見直しをされてはいかがでしょうか。

  • Home
  • データ消去ミニ情報