データ消去証明書とは、パソコンなどの情報機器に搭載されるHDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)などの記憶媒体に保存された個人情報などのデータが、適切な消去方式できちんと消去されたことを証明する証書です。
データ消去証明書があることで、企業はIT機器の記憶媒体に保存された情報の消去が適切に行われたことを証明することができます。
データ消去証明書には、様々なフォーマットやテンプレートが存在していますが、データ消去対象と結果が証明書によって一意に特定できる必要があります。
ご紹介したデータ消去証明書は、ソフトウェア消去方式の証明書でしたが、物理破壊による方法では、データ消去前後で対象のディスクの写真結果を用いて、データ消去証明書を発行する場合があります。
2020年12月に総務省はセキュリティポリシーに関するガイドラインを改定し、情報機器の廃棄やリース返却時にも、元のデータの復元が困難な消去方式と、データ消去証明書を求めるようになりました。
例えば、機器の廃棄等については「情報システム機器が不要になった場合やリース返却等を行う場合には、機器内部の記憶装置からの情報漏洩のリスクを軽減する観点から、情報を復元困難な状態にする措置を徹底する必要がある。」データ消去証明書についても「完了証明書により確認する方法など適切な方法により確認を行う。」との記載があります。
出典:総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン
https://www.soumu.go.jp/main_content/000727474.pdf
2019年12月に神奈川県庁で発生した「世界最大級の情報漏洩事故」と言われる事件では、リース返却前にHDDに対して初期化したにも関わらずデータが流出しました。
総務省はこの事件をきっかけとして、情報を復元困難な状態にするデータ消去方式と、データ消去証明書が求められるようになりました。復元困難な状態とは、適切なデータ消去方式でデータ消去したあとに、その記憶媒体に保存されいた元のデータは読み取れないようにするという意味です。この事件は専用の消去ソフトウェアによる情報を復元困難な状態にするデータ消去と、データ消去証明書の対策が確実に実施されていれば、このような大きな情報漏洩を防止できたと考えられます。
私達が日常で行っているファイルやフォルダの削除、ごみ箱を空にする、設定の初期化やフォーマットなどでは、実は中身のデータが消えていません。データ復元ソフトがあれば簡単に復元できてしまいます。復元困難な状態を実現するデータ消去方式としては、信頼あるデータ消去ソフトウェアを使っての消去、強力な磁気による消去、物理的なハードディスクの破壊などの方法があります。
項目 | ソフトウェア消去 | 磁気消去 | 物理破壊・破砕 |
---|---|---|---|
消去方式 | 上書き消去 | 強磁界による消去 | 専用機で破壊・破砕 |
対象 | 企業全般 | 企業・官公庁など | 官公庁マイナンバー等 |
HDD | 〇 | 〇 | 〇 |
SSD | 〇 | × | 〇 |
リユース(再使用) | 〇 | × | × |
リース返却対応 | 〇 | × | × |
データ消去証明 | 〇 | 〇 | 〇 |
SDGs | 〇 | × | × |
東京電機大学研究推進社会連携センター 顧問 客員教授 佐々木良一氏より、保存しているデータを正しく消去して情報流出を防ぐためにはどうすればいいのかを解説しております。
最近では第三者機関が発行するデータ消去証明書が注目されています。記憶媒体に対するデータ消去が、信頼あるデータ消去方式できちんと消去が行われたかを確認した後、第三者機関からデータ消去証明書が発行される仕組みです。
これまでの一般的に発行されるデータ消去証明書は、廃棄業者自身が発行する自己証明書であるという課題があります。
WEBサイトを代表するインターネットの世界でも、第三者機関が認証するサーバーやクライアント証明書が発行されているように、データ消去の世界でも第三者証明が発行するデータ消去証明書が注目されています。
第三者証明機関はデータの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的とした組織です。
第三者証明機関のデータ消去証明書は、適正にデータ消去が完了した場合データ消去証明書の発行が可能です。
第三者機関によるデータ消去証明書により、適正なデータ消去が完了したことの証明となります。
第三者機関が発行するデータ消去証明書の最大のメリットは、手元に記憶媒体が存在しなくても証明書によりデータ消去の証明が完了することです。IT管理者ではない利用者自身による消去、廃棄業者やパートナーによるデータ消去作業の結果を、第三者がその結果をきちんと証明することができるためです。
このため、データ消去事業者自身で発行する自己証明書における「本当にデータ消去が適正に完了したのか?」の課題を解決します。
ワンビの数多くの製品・サービスは、第三者証明機関から、「適正な消去技術に基づいた消去ソフトウェアの提供が可能」と認証されているため、復元が困難な消去方式と、安心のデータ消去証明書を発行することが可能です。
データ消去証明書ついて、背景・事例・対策についてご紹介させて頂きました。
ワンビでは情報漏洩対策の製品やサービスを中心とする幅広いラインナップを取り揃えています。
盗難・紛失対策から情報機器の廃棄・リース返却時における復元が困難な状態を実現し、第三者証明機関のデータ消去証明書を発行できる製品を取りそろえています。
ご興味が御座いましたら是非弊社にお問い合わせください。