PCを廃棄、譲渡する際に発行されるデータ消去証明書(データ適正消去実行証明書)は、情報漏洩リスクを防ぎ、企業の信頼性を高める効果があります。PCの廃棄を担当する方は、なぜこの証明書が必要なのか、どのように発行するのかなどの基本を押さえておくと良いでしょう。
今回は、データ消去証明書の必要性や流れ、費用などを解説します。
目次
データ消去証明書を発行する必要性
データ消去証明書は、PCを廃棄、譲渡する際に、データが完全に消去されたことを証明する文書です。
まずは、データ消去証明書を発行する理由について説明します。
データ漏洩のリスクを防げる
データ消去証明書は、どのようなツールやソフトによってデータが消去されたか、復元されないように適切に処理されたか、そしてその結果を文書化したものです。
この証明書は適切なデータ消去が実施された場合にのみ発行されるため、情報漏洩の防止に直結します。
単なる「ゴミ箱を空にする」や「初期化」では完全にデータが消去されず、専門的なツールで復元される可能性があるため、適切な消去方法と証明書の発行が重要です。
PC廃棄時のデータ漏洩は、民間企業だけでなく公的機関でも発生しています。顕著な例として、2019年12月に発生した神奈川県庁のHDD転売・情報流出事件があります。
この事件では、納税通知書や税務調査資料、企業の提出書類、県職員の業務記録など、多数の個人情報を含むデータが流出しました。流出した可能性のあるデータ量は最大54TBにもおよび、国内でも最大規模の情報漏洩事件ともいわれています。
このような事態を防ぐためにも、データ消去証明書の発行は欠かせません。
企業の信頼性を強められる
データ消去証明書は、企業が適切なセキュリティ対策を実施していること、そしてコンプライアンスを遵守していることを示す証となります。
具体的なメリットとして、従業員が安心して勤務できる環境を提供できることや、顧客が自社の情報管理体制に信頼を寄せ、安心して情報を預けられるという点があげられます。
特に取引先や顧客の機密情報を扱う業種においては、情報管理の証明として、データ消去証明書の保管と提示が求められるケースも増えています。
情報セキュリティマネジメントシステムへの対応に直結する
データ消去証明書の発行・管理は、情報セキュリティマネジメントシステム(ISMS)への対応に直結します。
情報セキュリティマネジメントシステムとは、ハッキングやコンピュータウイルスによる情報漏洩リスクが高まる現代において、企業や組織が総合的にセキュリティ管理を行うための運用システムです。
ISMSでは「情報資産のライフサイクル全体にわたる管理」が求められており、廃棄段階でのデータ消去証明はその重要な要素の一部です。
データ消去証明書に記載される内容
データ消去証明書には、廃棄・譲渡するPCの詳細情報、使用したデータ消去方法、そして発行者の情報が明記されます。
各社によってフォーマットは異なりますが、基本的な記載内容は以下の通りです。
・機器情報:どの機器のデータが消去されたのかを明確に特定できます。
-メーカー名、製品名
-シリアル番号、IMEI、製造番号など
-ドライブ情報 (HDD/SSDなど)
-端末ID
-型番、モデル番号
-容量
・データ消去レポート:データ消去が適切な方法で確実に行われたことを証明します。
-消去方式
-使用したデータ上書き消去ソフトウェアの名称
-消去の開始/終了確認日時
-消去時間
-消去結果
-消去作業場所
・証明書情報:証明書の信頼性と法的有効性を高められます。
-証明書の発行日
-発行者(会社名、担当者名)
-レポート発行日
-電子署名、責任者サイン
▼日本システムケアが提供するデータ消去証明書の例
これらの詳細な記録があることで、万が一情報漏洩などの問題が発生した場合に、適切にデータ消去が行われていたことを証明できます。
担当者は、この項目が正確に記載されているかを確認し、将来の監査や法的要件への対応に備えて証明書を適切に保管しておくことが重要です。
データ消去証明書の発行手続きについて
データ消去証明書の発行は専門業者に依頼するのが一般的です。
そのため、信頼できる業者を選定し、適切な手続きを踏むことが重要です。証明書発行には費用がかかりますが、情報漏洩リスクを考えれば必要な投資といえるでしょう。
以下では、データ消去証明書の発行費用の相場や、発行方法を説明します。
データ消去証明書の発行費用
データ消去証明書の発行費用は、一般的に1台あたり2,000~3,000円程度です。
この費用はデータ消去作業と証明書発行の両方が含まれています。台数が多い場合は、ボリュームディスカウントが適用される場合もあります。
費用は業者によって異なり、データ消去の方式(上書き回数など)や、オンサイト作業(自社内での作業)かオフサイト作業(業者の施設での作業)かによっても変動します。
高度なセキュリティが求められる場合や緊急対応が必要な場合は、追加料金が発生することもあります。
なお、PCの処分費用については以下の記事で詳しく解説しています。
「【法人向け】PCの処分にかかる費用は?安くする方法や処分の流れも紹介」
データ消去証明書の発行方法
データ消去証明書を発行するには、証明書発行サービスを提供している専門業者にデータ消去を依頼する必要があります。
発行までの流れとポイントは以下の通りです。
1.信頼できるデータ消去業者を選定する
業者選びでは、国際ガイドライン(米国国防総省規格やNIST規格など)に準拠したデータ消去方法を採用していることが重要な基準となります。
特に機密性の高いデータを扱う場合は、自社内でデータ消去作業を行うオンサイトサービスを提供している業者を選ぶと安心です。
2.業者に依頼する
消去対象機器のリスト(メーカー名、型番、シリアル番号など)を準備しておくと円滑に進みます。また、特定の消去方式や規格があれば、事前に指定しておくことも重要です。
業者によるデータ消去作業完了後、データ消去証明書が発行されます。
発行された証明書は、監査対応や内部記録のために適切に保管しておきましょう。デジタル証明書と紙の証明書の両方を発行できる業者もあります。
情報システム部門のない企業では、総務部や管理部門が担当することが多いですが、重要なのはセキュリティ意識を持った担当者が責任を持って対応することです。必要に応じて、IT顧問やコンサルタントに相談するのもひとつの方法です。
まとめ
PCの廃棄時はデータ消去証明書の発行が必須です。この証明書は情報漏洩防止や企業の信頼性向上に貢献し、情報セキュリティマネジメントシステムへの対応にも直結します。
証明書には機器情報、消去方法、発行者情報が記載され、1台あたり2,000~3,000円程度で発行できます。発行には国際ガイドラインを遵守した信頼性の高い業者選びが重要です。
専門業者に相談して、自社に最適なデータ消去サービスを選択することをおすすめします。
データ消去証明書を含む安全なデータ消去を依頼するなら
日本システムケアでは、国際ガイドラインに準拠した高度なデータ消去と証明書発行が可能です。
NIST SP800-88(※)準拠方式を採用し、ソフトウェアや残留磁気読取装置でも復元不可能なレベルのデータ抹消を実現するため、機密性の高いデータを扱う企業様にも適しています。
また、セキュリティ上の懸念から社外に機器を持ち出せない場合には、オンサイト作業も対応可能です。
すべてのデータ消去作業完了後には、国際基準に準拠した詳細なデータ消去証明書を発行します。この証明書は監査対応や社内のコンプライアンス証明として活用できます。
安全なデータ消去を実施したい、PC廃棄の手間を省きたいとお考えの企業様は、ぜひ日本システムケアにご相談ください。経験豊富なスタッフが最適なソリューションをご提案します。
※NIST SP800-88:アメリカ国立標準技術研究所(National Institute of Standards and Technology)が推奨する最新のNIST SP800-88に準拠したSSDなどフラッシュメディアを消去する方式。ディスク全体の領域を乱数で上書きした後、ゼロ(0x00)で上書きし、書込検証を行う
