公開日：2021-04-09

総務省によるガイドラインに則った「プロでも復旧不可能」なデータ消去。

読了まで：4分

業務用PCやサーバ、記録媒体を廃棄したり、リース会社に返却したりする際、データ消去が適正ではなかったために、機密情報が外部流出するトラブルが後を絶たない。独自のデータ消去ソリューションを各地の自治体に提供している「アドバンスデザイン」の西本さんに、安全なデータ消去法について話を聞いた。

※下記はジチタイワークスVol.13（2021年4月発行）から抜粋し、記事は取材時のものです。
[提供]アドバンスデザイン株式会社

大規模な情報流出事件を受け、総務省ガイドラインが改訂に。

令和元年12月、全国の情報管理者を震撼させる事件が発生した。関東地区のある自治体が、PCのデータ消去および廃棄を民間企業に委託したところ、行政情報が保存されたままのHDD（ハードディスクドライブ）を委託先の社員が盗難し、ネットオークションで転売したことが明らかになったのだ。盗難・転売されたHDDは3,900個超で、“世界最大規模の情報流出事件”との論評まで出た。

そうした事態を受けて総務省は、令和２年末に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改訂。PCをはじめとする電磁的記録機器を廃棄、あるいはリース返却する際の取り扱いについて、全国の自治体に通達している。「それでも、情報漏えい防止対策が万全になったとはいえません。ガイドラインが示す“全ての情報を消去の上、復元不可能な状態にする”ために、どのような工程が必要かを知らない担当者が多いからです」と西本さん。

記録装置の種類や目的に合わせ、３種のソリューションを提供。

代表的なデータ消去法には、上書きすることでデータを消す“データ消去ソフト”、磁気によってデータを破壊する“磁気消去”、記憶装置からのデータ読み出しを不能とする“物理破壊”の３種がある。アドバンスデザインは、この３種全てを提供できるデータ消去のプロフェッショナルともいえるだろう。

もともと、国内初のデータ復旧専門企業なので、“復旧できなくする”ことに関しても国内屈指の技術を誇っている。特に同社の磁気データ消去機「MagWiper」シリーズは、小さい磁気で効率的にデータ消去できる独自技術を採用。同シリーズの中でも一番大きいものは、ノートPCが丸ごと１台入るサイズ。入れるだけでデータ消去が可能なため、ノートPCからHDDなどの記憶装置を取り出す手間が省ける。ちなみに、磁気消去や物理破壊は処理時間が短いことが特徴だが、リユース（再利用）不可となるためリース業者などに返却する場合は使用できない。また、最近主流になりつつあるSSD※も磁気消去ができないとのこと。一方、HDDが起動することが条件だが、ソフトによるデータ消去ならばリユースが可能だ。ただし、消去するデータ量が大きくなるほど、それに準じて処理時間が長くなるという。

そうした特性を踏まえた上で、記録装置の種類、台数、リユースの有無など、企業や自治体個々の要望に応じた機器販売およびオンサイト対応を行えるのも、３種の技術が揃っている同社ならでは。自治体向けの製品販売実績は、神奈川県をはじめ30公共団体（令和３年２月取材時点）にのぼる。
※SSD＝Solid State Drive（フラッシュメモリなどを用いた記憶装置）

データを適切に消去する3つの方法比較表

自治体からの要請があればセキュリティポリシー策定も支援。

総務省の改訂版ガイドラインはアメリカ国立標準技術研究所の基準を一部引用している。しかし、具体性に欠け解釈しにくい記述内容も多いという。例えば“研究所レベルの攻撃からも耐えられるレベルで抹消”などが挙げられる。「これを確実に理解している自治体担当者は少ないかもしれません」と西本さん。これは、PCや外付けHDDを廃棄する場合、磁気消去・物理破壊・ブロック消去・暗号化消去・OSがアクセスできない領域を含むソフト消去、いずれかの方法を選択し、消去することを指している。「マイナンバー系のデータを含むHDDの場合、当社が推奨するのは磁気消去した上で物理破壊を行うことです」。

一方、リユースPC、あるいはSSDの場合は、複数あるソフト消去方式の中からデータの機密性に応じた方式を選ぶことが重要だ。「今後は、データ消去技術のプロとしての知見を活かし、自治体独自のセキュリティポリシー策定もお手伝いしたいと考えています」。

アドバンスデザイン
西本有佑（にしもとゆうすけ）さん