データ消去証明書の効力(信頼性)とその活用事例を紹介

数ある情報漏えいのインシデントの原因のなかで最も多いのは、「紛失・誤廃棄」という調査結果がでています(出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査 情報漏えい・紛失件数 原因別)。特に、ユーザーが間違った手順でパソコンや情報端末を廃棄し、その後トラブルに発展するケースがあります。

企業の保有する重要なデータの情報漏えいを防ぎ、パソコン等の情報機器を安全に廃棄できるように、一般社団法人コンピューターソフトウェア協会(CSAJ)によって設立されたADEC(データ適正消去実行証明協議会)では、情報が適切に消去されたかを証明する、データ適正消去実行証明書発行事業を展開しています。本記事では、第三者によるデータ消去証明書の効力(信頼性)はどの程度あるのか、詳しく解説します。

データ消去証明書の効力(信頼性)

「データ消去証明」という言葉を初めて聞いた方の中には、実際にどのような仕組みでデータの消去が証明されるのか疑問に思う方もいるでしょう。第三者機関の 「データ消去証明書発行」の仕組みがどのような手順でおこなわれるのか、簡単にご紹介します。

【データ消去証明書発行までの手順】(一例)

  1. データ消去するPC情報を第三者機関のサーバへ登録し処理番号を取得
  2. 認証されたソフトウェアでハードディスクを消去
  3. 消去完了後に表示されるQR(処理番号+PC情報+完了時刻)を読み取り第三者機関のサーバへ送付。
  4. 第三者機関の電子署名システムより電子証明書が発行

第三者機関が、認証されたソフトウェアを使用していつデータ消去が行われたか判別できる仕組みのため、第三者機関の「データ消去証明書」があれば、データが復元不可能な状態になっていることが証明でき、安心して情報機器の廃棄を行うことができます。

データ消去証明書の運用例を紹介

第三者機関が発行するデータ消去証明書は、データの復元が困難な状態で適正に消去されたかを証明できる方法です。実際の現場でどのように運用するのか、ここからは、データ消去証明書の運用例をわかりやすくご紹介します。

データ消去証明書運用例①~PCリユース(再使用)の場合~

PCリユース(再利用)の場合に関して、従来の運用方法と比較してみましょう。

【従来の運用】

  1. 旧利用者が使用しなくなったパソコンをIT管理者に引き渡し
  2. IT管理者がパソコンのデータを消去
  3. IT管理者がパソコンを次の利用者に提供

この場合、新旧利用者とIT管理者の勤務地が離れている場合、パソコン引き渡しの際に配送の手間、時間、コストが発生します。また、IT利用者の消去作業負担も増えてしまいます。

【データ消去証明書を活用した運用】

  1. 旧利用者が認定されたソフトウェアでデータを消去
  2. ADECよりIT管理者へ「データ適正消去実行証明書」が発行
    (この時点でデータが適正に消去されたことが証明されます)
  3. 旧利用者が新利用者へパソコンを引き渡し

データ消去証明書を活用すると、まず、旧利用者がIT管理者にパソコンを引き渡す手間がなくなります。また、IT管理者に「データ適正消去実行証明書」が発行されるので、その時点で、パソコンには重要データがないことが証明されます。旧利用者が直接新利用者にパソコンを引き渡すことで、IT管理者の負担がなくなり、パソコンの引き渡しの手間、時間、コストが大幅に削減されます。

データ消去証明書運用例②PC廃棄・リース返却の場合

次は、PC廃棄またはリース返却の場合に関して、従来の運用方法と比較してみましょう。

【従来の運用】

  1. PC利用者が使用しなくなったパソコンをIT管理者に引き渡し
  2. IT管理者がパソコンのデータを消去
  3. IT管理者がパソコンを廃棄・リース返却

この場合でも、それぞれの勤務地が離れている場合、パソコン引き渡しの際に配送の手間、時間、コストが発生、IT利用者の消去作業負担も増えてしまいます。

【データ消去証明書を活用した運用】

  1. PC利用者が認定されたソフトウェアでデータを消去
  2. 第三者機関よりIT管理者へ「データ消去証明書」が発行
    (この時点でデータが適正に消去されたことが証明されます)
  3. PC利用者が廃棄もしくはリース業者へ返却

PC利用者がパソコンのデータを消去することで、IT管理者へのパソコン引き渡しの際の手間、時間、コストを削減することができます。もちろんIT管理者へは「データ消去証明書」が届くため、情報漏えいの心配はありません。

まとめ

いかがでしたか?今回はデータ消去証明書が発行される仕組みと、その運用例を紹介しました。

ご紹介させて頂いた例のように、情報機器のデータ消去は委託先企業やIT管理者以外の従業員がデータ消去する場合があります。データ消去の未実行やデータ消去証明書の虚偽報告を防止するため、情報機器はデータ消去が適正に実行されたのかを最終確認する必要があります。

第三者消去証明はこれらの問題を解決する為、第三者機関の認証を取得した消去方法によりデータが適正に消去され消去後の報告が完了しない限り、データ消去証明書は発行されません。データの保有者は全ての作業が完了後、第三者機関からのデータ消去証明書が発行されることで、安心した情報機器の廃棄・リース返却などの運用が行えます。

こうしたことから、パソコンを廃棄する際やリース返却の際には、第三者機関によるデータ消去証明書を活用するように心がけていきましょう。

ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!

あわせて読みたい