HDDのデータ消去を実施する際、ガイドラインなど基準になるものがないかな、と思ったことはありませんか?古くなったパソコンを廃棄する場合、「ゴミ箱を空にする」操作などではデータを完全に削除することはできません。2019年には神奈川県庁の廃棄HDDの不正転売で機密情報が流出した事件が話題になりました。それを受けて総務省は、行政向けガイドラインの刷新を迫られました。民間の場合はどうすれば良いかというと、JEITA(電子情報技術産業協会)のガイドラインを参考にするのが良いでしょう。記事内では、具体的にどのようにHDDデータの消去を進めていけば良いのか、詳しく解説していきます。
パソコンを廃棄する際に発生するリスク
冒頭でもお伝えしましたが、パソコン廃棄のやり方を誤ると、事件になりかねないので慎重に進める必要があります。
情報漏洩のリスク
パソコンの廃棄手順を間違えた際に直接発生するであろうリスクは、情報漏洩です。
具体的には、以下のような情報が漏洩する危険があります。
<情報漏洩の事例>
- 顧客情報(会社名、代表名、連絡先、取引金額)
- 従業員情報(氏名、部署、住所、連絡先)
- 顧客のクレジットカード情報(名義人、番号、有効期限、セキュリティコード)
- 顧客の個人情報(氏名、住所、電話番号、カード情報、注文情報)
- サービス登録情報(メールアドレス、ID、パスワード、カード番号、セキュリティコード)
- 資産情報(氏名、ID、パスワード、金融資産情報、取引情報)
- 会員情報(氏名、住所、メール、高度暗号化パスワード、カード情報、購入品情報)
上記のような情報が、数千人、数万人、数十万人単位で漏洩してしまう事件が実際に起きています。ただし、個人情報の漏洩は報告義務があるので公開されますが、企業の機密情報の漏洩は公開されていません。企業の機密情報(技術情報、特許情報、設計図、契約書など)を含めると、その数はさらに増えると予想できますよね。
社会的制裁のリスク
情報漏洩が発覚すれば、間接的な影響も出てきます。1つ目は社会的制裁のリスクです。情報漏洩が発覚すれば、会社の信用は一気に下がります。取引停止、不買運動、機会損失、苦情・クレーム、誹謗中傷など社会的な制裁が一気に押し寄せてくる可能性も考えられます。
経済的損失のリスク
社会的制裁が発生すれば、行き着く先は経済損失になります。損害賠償、慰謝料支払い、業績悪化、株価の低下など。自社の金銭的損失はもちろん、株主の資産にまで影響が及ぶこともあり得ます。中には、顧客への弁済費用として、200億円の補償をした企業もあります。
リスクが事件に発展した事例
2019年12月、神奈川県庁の廃棄HDDの不正転売事件が報道されました。神奈川県庁とリース契約をしているリース会社が、リースのサーバーからHDDを取り出し、データ消去を外部の処理業者へ委託しました。委託業者の従業員は未処理のHDDを転売してしまいます。HDD購入者がデータを復元処理したことで、事件が発覚しました。
総務省は2020年12月「地方公共団体における情報セキュリティポリシーに関するガイドライン」を刷新し、情報資産及び機器の廃棄(データ消去)についての項目を追記しています。
ハードディスクの情報を安全に消去するための指針・基準
情報の消去については、個人情報保護法、マイナンバー法に削除するよう努める旨が記載されています。「情報を削除する」という点では法律で定められていますね。
- 個人情報保護法・・・個人データの管理において、利用されなくなった個人データは遅滞なく削除するよう努める(法第 19 条~第 22 条)
- 行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)・・・ 個人情報保護法と同様、保存期間等を経過した場合は、個人番号を速やかに復元不可能な手段で削除または廃棄しなければならない(ガイドライン第4)
ただし、「復元不可能な手段で削除するように」とも記載されているのですが、具体的な手段については明記されていません。復元不可能な手段については自分で検討しなければならないということですね。
復元不可能にするための方法に関するガイドライン
データ消去のための具体的な手順についてですが、法令で明言していることもなければ、各省庁が民間企業に対して示すガイドラインもありません。ただし、民間団体が独自に制定しているガイドラインは存在しています。ここでは、特に影響力の大きい団体が公開している国内外のガイドラインをご紹介します。
国内ガイドライン
JEITA「一般社団法人 電子情報技術産業協会」が策定しているガイドラインがあります。JEITAは大手電気メーカー12社からなる団体で、データ消去については各PCメーカーのHPやマニュアルにJEITAのガイドラインが明記されています。パソコン利用者への指針については、5.エンドユーザへのデータ消去に関するご案内、6. 消去ソフトウェアおよび同サービスへの対応に記載があります。
「パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関する留意事項」
海外ガイドライン
NIST「アメリカ国立標準技術研究所」が策定しているガイドラインがあります。NISTはアメリカ商務省に属する技術研究機関です。データ抹消については2020年時点で最先端のガイドラインとされています。なお、NISTの文書については、国内のIPAという機関が翻訳文書を用意していますので、そちらで確認可能です。
情報を安全に消去できない間違った方法
JEITAのガイドラインでは、パソコン利用者の誤解のある削除方法について、注意を呼びかけています。
- ゴミ箱に捨てる
- ファイル削除の操作
- ゴミ箱を空にする
- ソフトウェアで初期化(フォーマット)
- 工場出荷状態に戻す
一般的にはデータを削除するための操作として知られていますが、パソコンでの読み取りができなくなったというだけで、HDDにはデータとして残されているのです。
データ復元専用のソフトウェアを利用すれば、残っているデータを読み取ることが可能なため、悪用される恐れがある、とガイドライン内でも注意を呼びかけています。
情報を安全に消去するための方法
JEITAのガイドラインでは、HDDに残っているデータの悪用を防ぐため、以下の3つの方法で完全に消去することが推奨されています。
- ソフトウェア(有償/無償)での消去・・・HDD内を消去用データで上書きし、二度と読み取りできないようにする
- 磁気的な破壊・・・HDDの機能を超強力磁力で破壊する。ただし、磁気部品のないSSDには無効
- 物理的な破壊・・・HDD内のディスク状の装置(データ保存や読み書きを担当)を、ハンマーなどで直接破壊。適切に破壊できれば復元可能性はゼロ。
転売や譲渡などパソコンを再利用したい場合は、本体を傷つけないソフトウェアでの消去がオススメです。重要情報が保存されたHDDのデータを消去する場合は、磁気破壊と物理破壊の両方で処分する方が、データ破壊の確実性が向上します。適切な破壊方法の判断が難しい場合、データ消去専門の業者に問い合わせしてみるのが良いかもしれません。
ガイドラインには「ユーザーの責任において消去することが非常に重要です。」と記載されています。いずれの方法を選ぶにしても、自己責任で行う必要があるため、社内で処分を進める場合には、処分に関する社内規定を制定するなどして慎重に進めましょう。
機器別の消去における注意点
消去の方法は、機器ごとに検討する必要がありますので注意しましょう。
どこの場所で作業をするのか、どのような方法を採用するのかを保存データの重要度順に分けることで、効率的に処理できるはずです。例えば、重要度の高いデータのある機材は、「磁気破壊」と「物理破壊」の処理を社屋内で実施すること、などです。
それぞれのケースに対応するように社内規定を整えて、依頼業者にも指示を出すようにすると良いかもしれません。
サーバー、外部ストレージ
社内サーバーや、外付HDDなどの外部ストレージを処理する際は、社内でのデータ消去をするのがベストな選択です。理由としては、重要な情報であるため、たとえ消去する前提だとしても漏洩のリスクがあるためです。業者に依頼する場合は、自社に訪問して作業してもらうオンサイト(現場)での処理を指示しましょう。
アプライアンス機器
アプライアンスとは、特定の用途に特化したネットワーク機器です。セキュリティ用、ストレージ用、web用、キャッシュ機能用、メール用などがあります。こちらも社内の重要情報が保存されているはずなので、オンサイト(現場)での処理を指示しましょう。
その他PC
廃棄するパソコンの中でも、重要なデータが保存されていないものもあるかと思います。そういった機器であれば、外部での消去処理をしても問題ありません。ただし、処理をするPCの台数が多い場合は、バラバラに処理をすることのないよう一箇所で一気にデータ消去をしてもらった方が良いでしょう。
まとめ
HDDのデータ消去のガイドラインについてまとめます。
- パソコン破棄に伴うリスクに「情報漏洩」「社会的制裁」「経済的制裁」がある
- データ消去のための手順は、国内:JEITAのガイドライン、海外:NISTのガイドラインに従うと良い
- HDDに保存されたデータを完全に消去する方法は「ソフトウェアによる消去」「磁気的な破壊」「物理的な破壊」
データ消去の際に参考にすべきガイドライン規定はありますが、国内の規定では「自己責任での処理」が重要とされています。
本記事に記載の方法を参考に、適切な処理を行うことを心がけてくださいね。