1. HOME
  2. ブログ
  3. 情報漏えいの盲点!あなたのデータ、確実に消去できていますか?(後編)

情報漏えいの盲点!あなたのデータ、確実に消去できていますか?(後編)

■適切な消去の実行と、立ち合い確認における課題

前編で紹介した地方自治体の情報漏えい事件を受けて、総務省は2020年12月28日、 「総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン」( https://www.soumu.go.jp/main_content/000727474.pdf )を策定し、個人情報が大量保存された記録装置の処分について、 物理的に壊すなどして使えなくするように、全国の自治体に通知しました。

その際には、 作業完了まで職員が立ち会うことも求めています。HDD・SSDを搭載するパソコンやサーバー、 ネットワーク機器のリース・レンタル時の返却や利活用のための転売・廃棄時には「自治体職員が業者のディスクの穴あけ破壊、 磁気破壊を実施して廃棄に立ち会うよう求めることを徹底すること」を指導しています。

しかし実際には、以下のような課題が残されています。

・ 破壊するための機器が不足している

・ 監視する人員が不足している

・ 輸送時にデバイスを紛失することも多くある

・ 破壊した場合には、リサイクルやリユースができないため環境的な問題がある

ところで、製品(HDD)によっては、 3.5インチの筐体に2.5インチのプラッタ(円盤)を組み込んでいるものも存在します。また、そうでないものでも、 穴の場所(破壊の方法)によっては、プラッタ(記録円盤)に損傷を与えることができない可能性が存在するため、外観による判断だけで確実な処理が実行されたという判定が困難です。

プラッタが物理的な損傷を受け、 破砕されても、 その破片から現在する技術で読み出せることが認められています。 そのため、 物理破壊・破砕においても事前処理として上書き消去を行なうことが必要となります。

破壊・破砕処理の実行証明を目的に写真を添付する場合にも、 1枚の写真で損傷・破砕の状態と共に、メーカー品番、 製造番号を同時に目視判読が可能な状態で明示する必要があります。そのため製品のラベルなどを傷つけることなく、プラッタに損傷を与えるか、あるいは破砕することが求められます。 この要件を満たせない場合は、 写真の使い回しが可能となるため、 データを適正に消去をしたことを証明する証明書が不十分になってしまいます。 ​

上記のように 証明書による絶対的な確認が難しいので、 現場の立ち合いが必要になります。 もちろんデータ抹消対象機器に対する専門的な知識の所有が要求されますが、 そのような立会者を用意することにも困難が伴います。

■「消去を実行したことを知ること」

「人」が関わる以上、 職員による内部不正や、立ち合い時の不手際など、 ヒューマンリスクを完全に排除することはできません。 事業者がリスクを低減し、 データを適切に消去したことを証明するには、 第三者による証明を提示することが必要であると言えるでしょう。

そこで ​データが正しく適正に消去されたことを証明する国内唯一の任意団体・ADEC(データ適正実行証明協議会)についてご紹介します。

ADECは、企業が保有する重要データの情報漏えいを防ぎ、パソコンなどの情報機器を安全に廃棄できるように、一般社団法人コンピューターソフトウェア協会(CSAJ)によって設立された団体です。情報が適切に消去されたかを証明する、データ適正消去実行証明書発行事業を展開しています。

■ADECデータ適正実行証明協議会の第三者証明の仕組み

①ADEC証明書の発行の依頼を受けた事業者は、 消去を実行する前にデバイスを特定する固有情報(製造シリアル番号、 ストレージ型番、 容量など)をADECシステムに登録し、 ADECからの処理番号を受理します。

②ADECによって事前承認された消去プログラムを用いてデバイスの消去が完了したら、 消去実行情報(消去方法、 消去容量など)と処理番号をADECシステムに送信します。

③ 消去の前後で取得した①と②の情報が適合すれば、正しく消去が実行されたと判断してデジタル証明書が発行されます。

証明書には大きく分けて、「消去パソコン情報」「消去情報」が記載されています。
「消去パソコン情報」は、データが消去された情報機器のメーカー名、製造番号(シリアル)、ドライブ情報が記載。「消去情報」は、データを適正消去した事業者、使用したソフトウェア、実行された日時、結果が記載されています。

また、国際標準の長期署名規格(PAdES)に準拠した電子署名が付与され、証明書の改ざんを防止しています。Adobe Acrobat Readerで表示させることで電子署名が検証され、証明書の改ざんや破損など、不正がないことを確認できます。

このように、重要な情報を記憶・保管したら、手放す際の消去手法を知ること、消去を実行したことを知ることが重要になっていると言えます。

<参考>情報漏えいの盲点! あなたのデータ、確実に消去できていますか?(前編)

加藤 貴(Takashi Kato)
ワンビ株式会社 代表取締役社長
2006年にワンビ株式会社を創業。15年間エンドポイントセキュリティのソリューションの製品企画、開発、販売を手掛けてきております。前職では、トレンドマイクロでプロダクトマネージャーに従事してエンドポイントセキュリティの開発企画を経験。また、サイボウズでガルーンのマーケティングを担当して製品認知に貢献してきております。https://www.onebe.co.jp/

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!