目次
法人PCデータ消去の必要性
では、そもそもなぜデータを完全に消去することが必要なのでしょうか?法人PCのデータを消去する必要性について、3つのリスクから解説します。
情報漏洩ゼロ!
安全なデータ消去・PC回収サービスなら日本システムケア
情報漏洩による信用失墜
倉庫に保管しているPCであっても、万が一、紛失や盗難が起きてしまうと、そこに保存されていたデータが流出し、企業の信用に大きなダメージが及ぶ可能性があります。情報漏洩が1度でも起きてしまうと、顧客や取引先の信頼を大きく損なうことになり、企業のブランド価値や評判にも大きく傷がついてしまいます。
実例をあげると、ある保険会社において、取引先の従業員に顧客データを不正に持ち出され、約9万6000人分の個人情報が流出した事件が発生しました(2024年9月)。そのほか、教育サービスを提供する企業において、約2,900万件の個人情報が流出して約260億円の特別損失を計上するなど、かなりの痛手を受けた事例もあります(2014年6月)。
特に顧客情報の漏洩は管理体制が厳しく問われ、信用を回復するには多額の費用と時間が必要になってしまいます。
サイバー攻撃による経済的損失
サイバー攻撃を受けた場合、企業は多大な経済的損害を被るリスクがあります。過去、不動産会社において、旧システムのセキュリティ不備を突かれ、82万件以上の個人情報が漏洩しました。これにより、システムの停止や監視強化、被害者対応といった追加コストが発生し、対応には多大な労力と経費が必要となりました。
法的リスクと罰金
日本では、個人情報保護法などの法令に基づき、顧客や従業員の個人情報を適切に管理することが義務づけられています。情報漏洩が発生した場合、企業は個人情報保護委員会への報告が求められ、違反が発覚すれば罰金が科される可能性があります。
実際に、あるスーパーマーケットチェーンでは、サーバーへの不正アクセスにより770万件以上の個人情報が漏洩し、情報保護委員会への報告義務を果たさなければなりませんでした。
このように法的な責任を問われるケースでは、顧客への通知対応や罰金に加え、法令違反による社会的信用の低下も大きなリスクとなります。罰金や訴訟対応のコストも膨大であり、情報管理の不備が原因で企業存続にまで影響を及ぼすことも考えられます。
データ消去の最新国際規格“IEEE2883-2022”とは?
お待たせいたしました。これから2022年8月17日に公開された最新のデータ消去の規格“IEEE2883-2022”について深掘りします!
概要
まず、読み方ですが、「アイトリプルイー」と読みます。このIEEEは「アメリカ電気電子学会」の略で、正式名称はInstitute of Electrical and Electronics Engineers のことで、電気・電子工学、コンピュータサイエンス、通信、ロボティクス等分野の国際標準を制定している専門家集団・学会です。
身近な例でいうと、現代の情報社会には欠かせない“Wi-Fi”や、“Bluetooth”の技術標準も、このIEEEが策定しているんです。(それぞれ、IEEE 802.11, IEEE 802.15)
その国際的に権威がある団体が定めた、あらゆる電子機器のデータ消去に関わる取り決め、推奨事項をまとめてあるのが、“IEEE2883-2022”です。
2014年に制定された同じくデータ消去に関する規格“NIST SP 800-88”がアップデートされ、持続可能性を追求しながら、技術の進歩にも対応していく必要がある、今の時代にも対応している規格になっています。
データ消去方法の規定
データ消去方法は、主に3種類規定されています。
ソフト消去“Clear”
Clearの方法としては専用ソフトの“Blancco”が該当します。データ消去を事業として展開している業者は、この専用ソフトを使用していることがほとんどです。
IEEE Clearの定義は下記の通りです。
Clear. Prevents simple, non-invasive data recovery using software. This method of sanitization uses logical techniques to erase all data available on all user-addressable storage locations, but not hidden or non-addressable areas. Most devices support some level of Clear sanitization, which provides a moderate level of data protection while keeping the devices usable.
引用:blancco「New IEEE 2883 Data Erasure Standard Fills Technology Gap」
▼日本語訳
Clear方式は、ソフトウェアを使用した簡単で非侵略的なデータ復元を防止します。このデータ消去方法では、論理的技術を使用して、利用者が利用可能なすべての記憶媒体内の保存先で利用可能なすべてのデータを消去しますが、非表示の領域や利用不可能な領域は消去しません。ほとんどのデバイスは、ある程度のClear方式のデータ消去方法をサポートしており、デバイスを使用可能な状態に保ちながら、適切なデータ保護を提供します。
カンタンにかみ砕くと、
「本体を破壊することなく、そのままの形のまま、書き換え可能なデータを上書きして、元のデータを読み取れなくすることによって、データを消去する」
ということを定義づけしています。
専門的に定義すると、難しい単語が並んでいてほぼ解読不可能ですが、そのメカニズムを知ると、「なるほど」とわかると思います。
ひとまず、ソフト消去について、Blanccoを適切に使用している事業者であれば、規格にも則っていて安心といえます。
また、Blancco Drive Eraser の信頼性について、下記のようにBlancco社から公式に発表がありました。
Blancco Drive Eraser achieves ADISA IEEE-2883 Product Assurance Certification
We’re glad to announce our flagship product, Blancco Drive Eraser, is now ADISA Certified to Product Assurance (View Certificate) for IEEE 2883 Clear and Purge levels of data sanitization.
Other data sanitization software companies may state that they erase to this standard, but the ADISA Product Assurance Certification scheme is the only independent assessment that verifies IEEE 2883 compliance.
引用:blancco「For IEEE 2883-compliant Data Sanitization, Turn to Blancco Drive Eraser」
▼日本語訳
【Blancco Drive Eraser は ADISA* IEEE-2883 製品保証認証 に認められました】
“Blancco Drive Eraser”が、IEEE 2883 Clear, およびPurgeにおいて、ADISA認証の製品保証の一定水準(レベル6中の5段階目)に達していることをご報告いたします。
他社においても同水準でのデータ消去を行っていると宣言しているところがありますが、ADISA製品保証認証は、IEEE 2883 に遵守している旨を公式に宣言する唯一の枠組みです。
※ADISA:ADISA Research Centre(正式名称)は、イギリスを拠点とし、データ消去とIT資産廃棄に関する調査と認証を専門とした研究機関。
磁気消去“Purge”
磁気消去“Purge”は、強い磁気を一方向に浴びせて、データを読み取れない状態にする、データ消去方法のひとつです。
IEEE2883-2022では、再利用もできる点でこの消去方法が推奨されています。資源が枯渇することが目先に迫っている今、形を保ったまま中身だけ消去できることは、資源循環を考える上ではものすごく大切です。
IEEE Purgeの定義は下記の通りです。
Purge. Uses logical or physical techniques to remove all data, ensuring that even a specialist using state-of-the-art laboratory techniques in data recovery could not access data. While data recovery is infeasible, the storage media and the storage device may be reused.
引用:blancco「New IEEE 2883 Data Erasure Standard Fills Technology Gap」
▼日本語訳
Purge方式は、論理的、または物理的技術によりすべてのデータを除去・消去します。この方法によれば、データ復旧において最先端の技術をもった研究者であったとしても、データにアクセスすることは不可能です。データ復旧は不可能ですが、データ記憶媒体や情報機器は再利用できる可能性があります。
また専門的に定義されていますが、「完全なデータ消去が行え、かつ、(形状は変わらないため)再利用できる可能性がある。」ということが公式に規定されています。
ただし、PurgeはHDDにデータを書き込むための「サーボ情報」と呼ばれる制御信号(※)も含めて磁気で消去する方法です。再利用のためには専用の工具や環境が必要となるため、現段階ではこれらにかかるコストが高く、費用対効果は見込めません。
より容易にHDDを再利用できれば循環型社会の実現にも貢献できますが、まだそのようなリユースに対する考え方は定着していないのが現実です。
※制御信号:機械やシステムの動作を管理・調整するための信号のことで、HDD内部で「何をするべきか」を指示する役割をもつ。
(例)ヘッド(データを読み書きする部品)をどの位置に動かすか、読み取るべきデータはどこか、という情報を伝える。
物理破砕“Destroy”
物理破砕“Destroy”は、その名の通り、物理的に記憶媒体を破壊し、データを極限まで読み取りづらくする手法です。
IEEE Destroyの定義は下記の通りです。
Destruct. Techniques such as disintegrating or incinerating devices in a way that leaves them unusable.
引用:blancco「New IEEE 2883 Data Erasure Standard Fills Technology Gap」
▼日本語訳
Destruct手法は、情報機器を分解、または焼却し使用不可能な状態にする技術のことを指します。
こちらは説明も簡素でわかりやすいですね。
ただし、物理破壊は技術的な知識が必要なため、業者に頼むことをおすすめします。「社内でもできる」と思っても、本当に機械で粉々にする以外は、データが復元される可能性が残ってしまいます。
物理破壊についてもっと詳しく知りたい方は、コチラの記事をご覧ください。
「PCのハードディスクを破壊する方法とは?NG行為も紹介」
IEEE2883-2022 にも準拠したPC等のデータ消去、廃棄処分、循環利用・再資源化まで提供している業者
業務用のPCには、会社の重要なデータが保存されていることもあります。PCを初期化すると簡単に情報を読み取れなくなるものの、データ復旧ソフトを使うと復元できる可能性があり、会社の重要なデータが流出するおそれがあります。
このような重大な損失が発生するリスクを防ぐため、完全にデータ消去できる業者かどうかの確認が必要です。第三者業者を選ぶ際は、規格に準拠したデータ消去方法で運用している、信頼性のある業者を選びましょう。
法人向けPCを安全に処分したいものの、業者選びに悩んでいるという企業様は、ぜひ日本システムケアの「Re-Valueサービス」をご検討ください。
当社では、35年間で年間60万台のPCを回収しております。IEEE 2883-2022を始めとする国際規格を遵守したデータ消去を実施しており、現在までに回収したPCからの情報漏洩はありません。
データ消去後にはデータ消去完了証明書を発行しており、ご希望に応じて対面でのデータ消去(オンサイト破砕)も可能です。
当社でのお見積りや回収は、当社スタッフが現地訪問して行っております。回収から廃棄、さらに再利用、再資源化まで、すべて中間業者をはさまないため、安心してご相談ください。
まとめ
IEEE2883-2022について今回は原文も参照しながら徹底的に深掘りしました!技術の進歩に対応するために、世界の専門家たちがしのぎを削って、データ消去が起こらないための厳格な規格が規定されていることがわかったかと思います。
データ消去を提供している業者に委託する際には、透明性の高さで信頼できるかを見極めましょう。その上で、そのデータ消去方法が適切に使用されているか確認した上で、利用できれば業者に頼んだ方が安全で安心です。
