データ消去証明書って何?~「データ消去証明書」ができた背景から仕組みを解説~
2019年に発生した神奈川県庁のHDD転売による情報漏えいのインシデント(本コラム「緊急 神奈川県庁データ漏えい事故についての見解」参照)では、PCの廃棄に関するずさんな管理が自治体で行われていたことで、当時、多くのメディアに取り上げられ話題になりました。
このことで、PCの廃棄を業者に依頼しても、データ消去が適切に行われないこともあり得ると危機感を持った方も少なくないと思います。
こうした事態を防ぐために、PC廃棄の際に、第三者がデータを適切に消去したことを証明する証明書があることはご存知でしょうか。
今回は、データ消去に関する証明書について解説します。
第三者が証明する「データ消去証明書」ができた背景
データ消去に関するトラブルは神奈川県庁のインシデントが初めてではありません。過去にも多くのデータ消去関連のインシデントが発生していました。
PCをリサイクルしたり廃棄したりする業者は、データを有償または無償で消去してPCの再利用や廃棄を行いますが、その際、業者として確実にデータ消去が行われたことを証明することが必要なケースもあり、その場合、業者が独自の消去証明書などを発行して対応することがありました。
しかし、一部の悪意ある業者が、消去にかかるコストや作業時間を省くために偽造した証明書を発行するケースが発生し、業者の自己証明ではデータ消去が本当に行われたか確認できないという課題が残されました。
第三者証明の登場
そこで、完全なデータ消去を証明するために、一般社団法人コンピュータソフトウェア協会では、データの適正な消去のあり方を研究し、調査を行う「データ消去証明推進研究会」を設置。2018年5月末から「データ適正消去実行証明書」の発行がはじまりました。
第三者証明の仕組み
第三証明の仕組みを簡単に解説していきましょう。
「データ適正消去実行証明書」発行の仕組み
- データを消去する事業者が機器IDと事業者IDを登録。
- データ消去事業者第三者機関に認証された消去ソフトエアで処理番号とPC情報のQRを取得してデータの消去作業へ。
- データ消去事業者が消去作業完了後に表示されるQR(処理番号、PC情報、完了時刻)をスキャンして、その完了通知を第三者機関の電子署名システムに送付。
- 第三者機関が消去を依頼した顧客の元へ電子証明書を発行。
これにより、第三者機関から、証明書が発行され、消去作業の信頼性を高めることが可能になりました。
情報漏えいのリスク回避としてのデータ消去証明書
PCのデータを消去したと思っても、適切に消去されなかった場合、データが復元できてしまう可能性があります。最近の復元ソフトウエアは精巧なものが多く、データを完全に消去する場合、信頼できる専用のソフトウエアによる消去が必要不可欠となっています。
自身で適正なデータ消去を行う時間がない場合などは、専門の業者に依頼する方法があります。その場合は、データを完全に消去したと証明できる「データ適正消去実行証明書」を発行してもらうように心がけてください。
それに加え、情報漏えいを防ぐためには、データを取り扱う社内のスタッフの危機管理意識の共有も重要です。定期的に情報共有し、日頃から情報の取り扱いに関する危機意識を高めておくようにすることも忘れないでください。
まとめ
データ消去は、自分たちで簡単にできる作業と思われがちですが、実はデータをゴミ箱に入れて消去したとしても、そのデータを復元することはそれほど難しいことではありません。データを復元できない状態にする方法として、専門業者に依頼する方法がありますが、データ消去を依頼するだけでなく、「データ適正消去実行証明書」を発行してもらうことで、情報漏えいのリスクを回避することができます。
