情報漏えいの盲点! あなたのデータ、確実に消去できていますか?(前編)
情報漏えい事故はどのように発生しているか?
数ある情報漏えいのインシデントのなかで最も多い原因は何でしょうか?実は、「紛失・誤廃棄」が38.6%という調査結果がでています(出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査 情報漏えい・紛失件数 原因別 https://www.tsr-net.co.jp/news/analysis/20200123_01.html )。しかしさらに数字には表れない間違った手順でパソコンや情報端末を廃棄し、その後トラブルに発展するケースも数多く存在しているのです。
2019年のリサイクル業者での廃棄は約70 万台にとどまっています。(出典:経済産業省 統計資料https://www.meti.go.jp/policy/recycle/main/data/statistics/index.html)
パソコンの寿命を5年、平均4年間リース、製品寿命と仮定すると約1,600万台相当のPCが使用できなくなって廃棄することが予想されます。つまり正規のリサイクル法による手続きを行わずに破棄されているパソコンが多いと予想されるのです。 このことは、環境省が目指す、「資源有効活用」の観点からも大きな課題です。
パソコン所有者がリサイクルを行わない心理的要因のひとつとして、 保存データを正しく消去したことを証明できないことが考えられ、 情報流出した際の責任問題に発展することを恐れているのでは?と推測されます。
重大事故発生!地方自治体の情報が漏えいし、大きな波紋が広がった
「県庁の記憶媒体が転売。個人情報を含む行政文書が復元可能な状態に」
2019年12月6日、 神奈川県庁の行政文書(個人情報や機密情報を含む)が保存されていたHDDなどの記憶媒体が転売されていたことが報道で判明しました。これは世界的に見ても最大級の漏えい事故でした。セキュリティ業界の中では、いまも議論が取り交わされております。
この事故への予防対策として、総務省が2020年12月28日に「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 2 年 12 月版)」( https://www.soumu.go.jp/main_content/000727474.pdf )を公開しました。
今回の事件の経緯は次の通りです。 神奈川県庁がリース契約満了にともないリース会社にHDDを含む機器を返却した際、 その機器の廃棄処分をリース会社よりデータ消去専門会社に委託していました。 しかし、この会社の作業者は廃棄処分を行わず、 これら機器を持ち出して、オークションサイトで転売していたのです。 その機器を入手した人がデータ復元ソフトを使用したところ、 保存データが復旧され、 情報が漏えいしてしまったのです。
内部での犯行はセキュリティの世界でも大きな問題であり、 これを完全に防ぐことは非常に困難です。 神奈川県庁とリース会社との契約では、 「消去証明書」を送付する取り決めされていましたが、 消去や廃棄のエビデンスが提出されていませんでした。 また、 神奈川県庁がリース会社に返却する際、 HDDは「初期化(フォーマット)」したのみで、 データは復元可能な状態でした。
パソコンを破棄する前に、知っておきたいデータ消去の基礎知識
消去するデータをゴミ箱に入れて、「ゴミ箱を空にする」を選択すると、先ほどの「データの管理情報」と「データ本体」が完全に消去されるのではなく、「データの管理情報」だけが消去されます。
「データの管理情報」を消去すると、OSからはそのデータにアクセスできなくなるため、OSはそのデータがなくなったものと認識し、「データ本体」も“空き容量扱い”になります。別の新しいデータが保存される際は、空き容量扱い「データ本体」に上書きされるという仕組みです。つまり、ごみ箱を空にしても、「データ本体」はまだハードディスクに残っているのです。
前述のとおり、「データ本体」はハードディスクにまだ残っているため、専用ソフトを使うことで、データを復旧することが可能ですし、そうしたサービスを提供している業者もあります。「データの管理情報」だけが消去された状態なので、専用ソフトを使えばデータを復旧できることに注意しなければなりません。(後編へつづく)
