県独自の厳格なルールを策定し情報流出をガッチリ防止。

読了まで：4分

令和２年、県独自の情報流出防止策を策定した神奈川県。「県の管理下で3つの方法を全て実施するデータ消去」など厳格なルールを、全国に先駆けて策定した。同県の取り組みを、デジタル戦略本部室の曽根さんに聞いた。

※下記はジチタイワークスVol.14（2021年6月発行）から抜粋し、記事は取材時のものです。
[提供]アドバンスデザイン株式会社

３種の異なるアプローチで完全なデータ消去を可能に。

総務省による「情報セキュリティポリシーに関するガイドライン」改定版が発表されたのに伴い、全国の自治体が、PCやサーバーなどの廃棄とリース返却時のデータ消去に神経を注ぐようになった。ただ、ガイドラインにある“情報の機密性に応じ情報を復元できないように処置”が、具体的にどのような作業を指すのか分かりにくい上、購入機とリース機が混在する使用環境では、データ消去作業の“実施主体”が不明確になるケースも少なくない。

そうした中で神奈川県は、令和２年１月に県独自の情報流出防止策を策定。取引企業からの紹介を受け、「アドバンスデザイン」のデータ消去ソフトと、磁気データ消去機を導入。保有していた物理破壊装置と併せ、「データ消去ソフトによる消去」「磁気データ消去」「物理破壊」の異なる方法を全て実施してPCおよびサーバーの利用終了時、記録されているデータを復元不可能な状態に消去できる体制を整えた。また、同年10月にはSSD(ソリッドステートドライブ)の廃棄に対応するための新たな物理破壊機も追加導入した。同社の磁気データ消去機がNSA（アメリカ国家安全保障局）認定機種であったこと、独自のデータ消去ソリューションを有していることなどが、導入の決め手となったそう。

対策以前のリース契約機器は個別交渉して徹底対応。

同県の情報流出防止策は、“個人情報、重要情報を含む場合”“公開情報のみの場合”それぞれの抹消措置を明確化し、さらに“抹消措置の作業完了までを県の管理下で職員が立ち合い確認すること”を基本方針に掲げ、対策を実施している。

「職員が確実にデータ消去できるよう分かりやすい手順書を作成し、２人以上の職員が目視および写真撮影を行っています。情報機器が壊れている場合はデータ消去ソフトが使えないので、デジタル戦略本部室がSSDやHDD取り出しのサポートを行い、磁気データ消去と物理破壊するよう工夫しています」と曽根さん。

返却しなければならないリース契約PCの場合、SSDやHDDがリユース不可となる磁気データ消去や物理破壊を県側が勝手に実施することはできない。新しく締結する契約には県の防止策を全て実施することを明記しているが、対策以前に契約した機器の中には、そうした作業が契約内容に盛り込まれていないものも少なくなかった。

「そのため、リース業者と個別交渉を行い、契約内容の変更が難しい場合はリース満了後に県で買い取って物理破壊まで実施するようにしました。大手業者ならまとめて交渉できますが、リース台数が少ない業者とは、契約している部署が直接交渉するようにしています」。

情報機器の多様化に合わせ常に新しいルールを模索する。

令和２年以降、同県では利用終了時にはソフトによるデータ消去、磁気データ消去と物理破壊を原則全て実施している。リース契約PCについては前述の個別対応を行っている。

徹底した対応が、“絶対に情報漏えいを起こさない”という同県の強い決意を物語っているが、情報機器の多様化スピードは極めて早い。PC、サーバー、タブレットについては明確なルールを定めているものの、クラウド利用などに対応するルール策定は今後の課題だ。また、記録媒体にSSDを採用しているPCは磁気データ消去ができない、HDDに物理破壊のみ行ってもデータが残る……など、機器の特性に応じた消去法もマスターせねばならない。

「厳格なルールを設けたことで、情報流出防止に対する職員への意識付けはできました。しかし今後もセキュリティ意識の向上に努め、それと同時にセキュリティ研修なども定期開催し、時代に沿った情報管理を徹底しなければならないと考えています」。