【セミナーレポート】「総務省新ガイドライン」データ抹消トリセツ！

概要

◼タイトル：「総務省新ガイドライン」データ抹消トリセツ！～機密性に応じたデータ消去/破壊方法の使い分けとは～
◼実施日：12月15日（木）
◼参加対象：自治体職員
◼参加者数：65人
◼プログラム
（Program１）
ADECと新ガイドラインのデータ抹消トリセツ
（Program２）
新ガイドラインに準じたデータ抹消機器のご案内

---

ADECと新ガイドラインのデータ抹消トリセツ

＜講師＞

データ適正消去実行証明協議会（ADEC）
事務局担当　鈴木 啓紹氏

電磁記録媒体上のデータは目に見えないものだけに、データ消去を依頼する側も消去を行う事業者側も、本当に復旧不可能な状態になっているかどうかを確認するのが難しい。電子データの適正な消去について、技術基準の策定や、適正消去を証明する制度の普及・啓発を進める「データ適正消去実行証明協議会（ADEC）」の鈴木さんが、新ガイドラインに準じたデータ消去のあり方について解説する。

ADECの活動概況とデータ抹消の「３ランク」について

ADECの活動主旨は、第三者における消去証明書の必要性を啓発することで、現状は正会員26社、特別会員３社（間もなく４〜５社になる予定）、協議会員２社、協力団体２団体で構成されています。

ADECが、第三者消去証明書をどのような流れで発行しているかについては、下記の図を参照下さい。

上記図にあるタイムスタンプ付きのデータ消去証明書は、ADECシステムにより改ざんができないよう、人の手を介さずに発行できる仕組みになっています。

当協議会は、データ消去技術やプロセスの標準化を目指して活動していますが、そこで取り上げられたのが、「データ消去技術ガイドブック」です。グローバル的標準の消去技術を日本向けに分かりやすくしており、下記のURLから無料ダウンロードできますので、是非参考にしてください。

https://www.adec-cert.jp/guidebook/

さて、「データ抹消」には３段階のランクがあることをご存知でしょうか。概要としては

① クリアClear（消去）/キーボードアタックに耐えること
② パージPurge（除去）/研究所レベルのアタックに耐えること
③ デストロイDestroy（破壊）/媒体の再生（再組立等）に対して耐えること

の３つで、ADECで行う認証は、「消去技術認証（消去ソフトの能力検証）」と「消去プロセス認証（消去事業者の業務プロセス検証）」の２種類。

いずれも通常２〜３カ月で取得できますが、実施検証で確認を行う点が重要です。さらに認証取得した事業者は、１年に１回のチェックを受けている点も、自治体の皆さんにとっては重要なポイントだと思います。2021年時点の認証数については、消去技術認証が19件、消去プロセス認証が10拠点でした。

新ガイドラインの概略と情報資産の抹消について

ガイドライン「iii-51 (７) 機器の廃棄等」に、『運用にあたっては、「情報システム機器の廃棄等時におけるセキュリティの確保について」を参照されたい』との一文がありますが、その中の「３段階のデータ抹消ランク」について説明します。

ガイドライン改定後に強調されているのは、「初期化しただけではデータは消えていません、一般的なデータ復元ツールでも復元できない消去をする必要があります」ということです。その中でも、特に厳重にデータ抹消しなければならない「マイナンバー利用事務系の記憶媒体」の作業の流れは、下記の図を参照してください。

この流れはマイナンバー利用事務系すべてではなく、住民情報を保存する記憶媒体に限定されています。外部事業者で「Destroy」レベルの消去を行う際、職員立ち会いによる消去証明書が必要ですが、ハードルが高いため、作業完了証明書や破壊証拠写真を用意できれば職員が立ち会わなくても対応できます。「Destroy」相当のデータ抹消について、自庁舎内で四点穿孔をしているのでOKと認識しているところが多かったのですが、物理破壊のためのシュレッダーや磁気消去機器を導入しているところは少ないようです。四点穿孔のみでは、残留磁気からデータの読み取りが可能なことが論理的に証明されています。そのため、磁気消去またはソフト消去と併用することが必要です。

次に「機密性２以上に該当する情報を保存する記憶媒体」については、庁舎内で「Clear」相当の消去を行って消去証明履歴を残し、外部事業者で「Purge」レベルの消去及び消去証明書が必要になります。そして、「機密性１に該当する情報を保存する記憶媒体」については、庁舎内で「Clear」相当の消去を行って消去証明履歴を残し、外部事業者でも「Clear」レベルの消去及び消去証明書が必要になります。

重要なのは、「消去履歴を残すこと」「消去証明書を取得すること」です。このレベルまで対応・実行しておけば、万が一、プロの犯罪者集団からデータを盗まれたとしても、社会的に納得してもらえるはずです。

仮想化サーバに保存されたデータ消去法も公開予定

ADECは先ごろ、消去証跡追跡管理システム「ETTMS」の運用を開始しました。2021年３月に横須賀市役所と実証実験を行い、４月に結果をリリースしています。

このシステムにより、総務省ガイドラインに沿った情報資産廃棄→データ抹消→全ての消去履歴とデータ消去証明書をデータ登録して閲覧→保管が可能となります。つまり、履歴をすべて残すことが可能で、ガイドラインに沿ったデータ末梢の履歴と証明書を、ここで一元管理できます。ある自治体から“丸ごと解決してほしい”との要望で、このようなソリューションを構築しました。

その他にも、総務省ガイドラインに乗った「調達仕様書事例の作成」をADEC会員向けに発行しており、最近のトピックとしては、地方公共団体の責任範囲下で「オンサイト消去業務時における業務チェックリスト」もADEC会員に発行しています。今後は、クラウド環境の仮想化サーバのPurge抹消や、行政会員（無料）の登録と情報提供サイトの公開を予定しています。

新ガイドラインに準じたデータ抹消機器のご案内

＜講師＞

アドバンスデザイン株式会社
営業部　長谷川 慧さん

新ガイドラインに記載されている『機密性に応じたデータ抹消方法』は、ソフトによる上書きデータ消去、磁気データ消去、物理破壊の３種類だが、その全てを取り扱っている（実施できる）メーカーは国内に１、２社ほどしかない。そんな中で、国内初のデータ復旧専門会社として開業し、前出のデータ消去手法を３種類とも自社で行うアドバンスデザインの長谷川さんが、記憶メディアの種類に合わせた適切なデータ抹消方法を紹介する。

データ消去の基礎知識と適切な機器の選択

自治体向けに実施したデータ消去に関するアンケートによると、「ガイドライン改定後、データの消去への対応に変化がありましたか？」の質問に、「あり」が20％、「なし」が80％という結果でした。80％の「なし」のうち、「以前からガイドライン準拠の対応を実施している」が65％、「ガイドラインの内容自体を知らない」が５％、「ガイドラインは認知しているが対応できていない」が10％という状況でした。

しかし、「ガイドライン準拠の対応を実施している」自治体のデータ消去方法を調査した結果、物理破壊、手作業、ソフト消去、磁気破壊などのうち１つだけ導入している自治体が45％。目的に応じて複数の消去方法を導入している自治体は、全体の16％に留まりました。つまり、ガイドラインの解釈が自治体によって異なり、データ消去方法もバラバラなのが実情のようです。
総務省のガイドラインでは下記の図のように、データ内容により３つの処理パターンを指定しています。

 

これに対し当社は、上書き消去ソフト「DetaSweeper3」、磁気データ消去を行う「MagWiper」、物理破壊の「StorageCrusher」の３種類の製品を提供中です。どの製品をどのように使うかは、「リース返却等で再利用できる状態で返却しなければならないもの」なのか、「そのまま廃棄しても良いもの」なのかによって異なり、適切な組み合わせも記憶メディアごとに異なりますので、不明な場合はお気軽にご相談ください。

３製品の詳細とそれぞれの特徴

当社が提供中の、各製品の概要を紹介します。まず、上書きデータ消去ソフト「DetaSweeper」シリーズには４種類があり、USBタイプ２種のほか、スタンダード型の「DetaSweeper3 Handy」、ネットワーク集中管理型の「DetaSweeper3 Network」があります。ライセンスフリー版を除き、消去ライセンスを販売する形態になっており、消去する台数分のライセンスを購入していただきます。

磁気データ消去機「MagWiper」シリーズも４種類あります。MW-15000X、MW-25000X、MW-30000Xの３種に関しては、HDD、FD、磁気テープなどを、作業１回につきどれだけ消去できるかの違いです。NW-1Bは、アジアで唯一の「NSA（アメリカ国家安全保障局）認定」モデルです。

物理破壊機「StorageCrusher」シリーズには、電動式と手動式の２種類があります。共通の特徴として、内部の破壊ツールは用途に応じて変更可能で、ツールを取り換えれば本体１台でHDD、SSD、磁気テープのなどの破壊が可能です。

各製品の参考価格は、以下を参照ください。

 

なお、リース導入もお勧めしています。例えば小規模自治体向けの場合、MW-15000Xと手動式 StorageCrusher(HDDとSSD破壊セット）で、月々17,746円（税抜）です。大規模自治体向けの場合、ノートPC消去モデルMW-30000Xと手動式StorageCrusherで、月々53,542円（税抜）です。消去機器導入の予算化が難しい自治体向けには、レンタルサービスも行っています。

例えば、磁気データ消去装置MagWiperシリーズのMW-15000Xが、1週間レンタルで参考価格24,546円〜（税抜）です。ただし、場所によっては運送費が高額になる場合もありますので、見積り等もご相談ください。

各地の自治体における導入事例

導入時の参考にしていただきたく、ごく一部ではありますが、各地の自治体における導入モデル事例を紹介します。

【神奈川県庁】
世界的な規格に準拠した製品で県民にも安心してもらいたいとの意向で、当社の製品を３種とも導入いただきました。
・磁気消去装置　MagWiper MW-1B、MW-15000X
・物理破壊装置　電動StorageCrusher
・データ消去ソフト　DataSweeper3Handy、DataSweeper3（ライセンスフリー）

【神奈川県横須賀市役所】
HDDを廃棄する際、上書き消去装置だと時間がかかります。そのため、一瞬でデータ消去できる磁気消去機と、消去証明書用ツールもセットで販売しておりますので、オプションで導入いただきました。
・磁気消去機　MagWiper　MW-15000X

【神奈川県藤沢市役所】
リース品返却時にはソフト消去を、自前調達のノートPCを分解するのは大変なので磁気データ消去をという、２通りのご要望に合わせて導入いただきました。
・磁気消去機　MagWiper　MW-30000X
・データ消去ソフト　DataSweeper3Handy

【富山県富山市役所】
大量の磁気テープを廃棄したいとのご要望でしたが、まとめてデータ消去できる磁気消去機をお選びいただきました。データを消去後、現在はHDDの消去にもご利用いただいているそうです。
・磁気消去機　MagWiper　MW-15000X

北海道から沖縄まで、多くの自治体に導入いただいております。自治体ごとのニーズに合わせた導入実績がありますので、お気軽にご相談ください。

なお、販売やリース、レンタルだけではなく、データ消去のための人手や時間が足りない自治体向けには、専用機器を持った当社の専門家が現地に出向き、目の前で消去作業を行います。「専門家に全て任せたい」という場合は、是非ご利用ください。料金の目安は以下の通りです。

・作業内容/東京都内・HDD10台を磁気データ消去+消去証明書付
・基本料金５万円+ HDD磁気データ消去1,000円×10台+証明書発行料金１万1,000円
・合計価格（参考）＝７万1,000円（税抜）

作業場所、消去内容・台数により金額は変動しますので、連絡をいただいた後に作業内容のヒアリングをした後、御見積りを提出いたします。

[参加者とのQ&A] ※一部抜粋

Q： PCを廃棄する際、HDDやSSD以外の部品については、物理破壊を実施せずリユースすることはデータ抹消として適切ですか？
A：（長谷川）PCであればHDDやSSDの記憶媒体以外に、記憶を永久に保持するような部品はないため、リユースすることに問題はありません。“メモリ内のデータは大丈夫か”との質問を受けることもありますが、メモリ内データは揮発性で飛んでしまいますので、問題ないと私どもは考えています。

Q：私の自治体ではデータ消去ソフトを使い、１台あたり約10時間かけてから廃棄しています。そのためデータ消去が間に合わず、廃棄できないPCが溜まっている現状です。ある民間企業から「総務省通知に準じた廃棄委託を請けている」との営業がありましたが、判断が難しいです。
A：（長谷川）大前提として、ガイドラインでは自庁内もしくは管理下でクリアレベル以上の消去が必須と定めています。したがって、データ消去を行わずに廃棄を委託するのは規定に反することになります。「１台あたり約10時間」とのことで、おそらくデータ上書き消去ソフトを使っておられると思いますが、HDDであれば磁気消去可能なので、弊社の「MagWiper」を使えば手間がかからず素早くできると思います。

何より大事なのは、「まず管理下内でデータ消去する」ことですが、管理下内であれば外部委託業者に委託し、作業履歴を残せば問題は無いので、そういうやり方も検討してみてください。

Q：マイナンバー利用事務系のデータ消去について、「データ消去の上で物理破壊」とありますが、物理破壊で粉砕を行う場合でも前段のデータ消去は必要なのでしょうか。
A：（鈴木）総務省のガイドラインでは庁内、または管理下でクリアレベル以上のデータ消去が必須なので、最終的に「粉砕」を行う場合でもデータ消去は必要です。ただし、デストロイレベルの定義のお話であれば物理破壊のレベルによりけりです。「粉砕」と呼ばれる工程であれば、おそらく前段のデータ消去は必要ありませんが、粉砕したHDDの大きさが小銭くらいの大きさだと、デストロイレベルに到達せず事前のデータ消去が必要です。一方で、磁気を読むことができないレベルまでHDDを粉砕するのであれば、あくまでもデストロイレベルの定義であれば事前のデータ消去は必要ないと考えられます。なおデストロイレベルのデータ消去対象はあくまでもマイナンバー利用事務系の「住民情報データが入った記憶媒体」に限ります。