適切なデータの破棄を行わないことによる情報漏えいの危険
パソコンやサーバには耐用年数があります。
一定年月を過ぎると必ずリプレイス(更改)を行なう必要が出てきます。
パソコンやサーバ内に保存されている、様々なデータやプログラムをリプレイスの時には、適
切に廃棄しなければいけません。
その後に、必ず情報管理担当者が取りまとめて、ファイルを削除しただけでは、データやプロ
グラムは完全に消去できないため、初期化したり、データ消去ソフトウェアを使用したり、専
門業者を利用するなど特別な対応が必要になります。
適切にデータやプログラムの消去を行なわない場合には、第三者に見読される可能性があり情
報漏えいのリスクが高まります。
それは、削除したはずのデータをデータ復元用のソフトウェアを用いて復元することができて
しまうためです。
ハードウェア障害により、ハードウェアの修理や、ハードディスクの交換などの発生すること
があります。
そのときにも、当該ハードウェアに記録されているデータが外部に流出しないようにデータを
適切に消去する必要があります。
なぜならば、修理や交換のためにハードディスクなどのハードウェアを自社の外部にもち出す
ことがあるからです。
修理のことに気をとらわれがちですが、保存されたデータの消去を忘れないようにしなければ
なりません。
データの重要度によって選択する、データの廃棄方法
パソコンやサーバを廃棄する際に多くの企業などで採用されているのが、データ消去用ソフト
ウェアでデータを消去する方法です。
また、物理的に破壊する方法でパソコンやサーバのハードディスクなとゞを物理的に破壊する
処理方法もあります。
そして、両方を合わせておこなうこともあります。
データ消去の方法には、DoD方式やNSA方式と呼ばれる方法があります。
DoD方式は米国国防総省規格の消去方式で、ハードディスクのデータを3回上書きしてデータ
を復元できないようにする方法です。
一方、NSA方式は米国の国家安全保障局(NSA)が推奨するデータ消去方式で、乱数を2回書き
込んだ後に0(ゼロ)で1回上書きする方法です。
こうしたデータ消去では何れの方式においても専用ソフトが用いられることになります。
しかし、これらの方法には、課題が残っており、消去対象の領域にデータを乱数や0(ゼロ)
に上書きしてデータを読めなくするということをおこなうための時間がかかります。
上記方式のほかに、消磁方式と呼ばれる、消磁機器を用いてハードディスクなどのデータが保
存されている部分の不必要な磁性を減少、または除去する処理をおこないデータが見読されな
いようにする方法があります。
これは、イメージ的には、大きな電子レンジのような機器の中にノートパソコンなどを入れて
電圧をかけてデータを消去するといったことをおこないます。
買取機器かリース機器かによってかわる破棄方法に注意
リース機器の場合には、先ほど機器や媒体の廃棄方法として挙げた、物理的に破壊する方法を
適用できません。
それは、当然のことながら、リース機器はリース会社から借りているものなのでリース期間が
満了すればリース会社に返却し、パソコンなどの機器を壊すことなく借りた状態に戻して返却
しなくてはいけないからです。
ですので、この際はデータ消去用ソフトでデータ消去を行なう必要があります。
なお、紙ベースの帳票等の場合には、リサイクルの視点から紙を溶解して廃棄する方法が採用
されるケースもありますが、
その場合、信頼できる事業者に委託することがポイントです。
これは、リサイクル事業者に業務委託して廃棄することになり、情報が漏えいしないため
業者の信用度を見極め、セキュリティーレベルの高い業者へ依頼しましょう。
データは、パソコンやサーバだけに保存(格納)されているわけではなく、
USBメモリ、外付型のハードディスクなどの媒体にもデータは含まれていています。
さらに、紙ベースの帳票などにも重要な情報が記載されている場合があります、そこで、これ
らの媒体のデータも復元できないように消去する必要があります。
外付型ハードディスクの場合には専用のソフトウェアでデータを消去する、CD-ROMなどは専
用のシュレッダーで破壊後に廃棄したりといったことになります。
破棄までの仮置場時にも不要なパソコンや帳票が紛失しないように注意
パソコンや各種媒体の廃棄は、パソコンの場合にはリプレイス時にまとめてから廃棄処分を行
ないますし、帳票の場合でもある程度の量がたまるのを待って廃棄処理事業者に委託すること
になるため、必ずしも即時に行なわれるわけではありません。
そのため、廃棄事業者に依頼するまでの、仮の置場所や保管場所のセキュリティ対策が問題に
なります。
部外者の立ち入りができない場所に施錠保管するなどして、不要なパソコンや帳票が紛失しな
いように注意が必要です。
廃棄処理の事業者に証明書の提出を義務と視察
データの消去、パソコンなどの廃棄を確実に実施したことの責任を明確にする必要があるた
め、外部委託して事業者に廃棄処理をする場合には、データを完全に消去したことの証明書の
提出を義務づけます。
そして、外部委託先のデータやパソコンなどの廃棄に対する意識を高めるために外部委託先に
廃棄証明の提出を求めるようにしましょう。
ただし、コストが増えるというマイナス面もあるので、廃棄証明の提出を委託先に求めるとと
きには予算の確保が必要になります。
実際に廃棄物を委託した処理会社の処理施設を訪問して確認することが重要です。
ある地方銀行の方が、書類を廃棄する場所まで行き、書類が全部溶解されるまで確認していた
り、また、情報機器を分解し、ハードディスクを破壊している様子を視察したこともありま
す。
さらに、機密レベルが高い書類の場合、顧客がモニター画面で廃棄場所の過程を現場のカメラ
を通して確認できるようにしている廃棄事業者も存在します。
このように廃棄事業者の作業の様子を確認して、媒体などを適切、確実に廃棄するために大切
です。
まとめ
委託業者がセキュリティ認証を取得しているからと言って安心できるわけではありません。
企業が、どのような情報に対して、どのような対象範囲でマネジメントシステムを構築してい
るかは、それぞれの業者で異なりますので、業社に委託する場合は、そのマネジメントシステ
ムの確認が必要となります。
また、確実に廃棄したことを証明する書類を発行してくれる業者であればより安心です。