パソコンは燃えるごみか?燃えないごみか?
パソコンは通常、燃えるごみ(可燃ごみ)でも燃えないごみ(不燃ごみ)でも、粗大ごみでも出せません!
日本では家庭から出る使用済みのパソコンは「パソコンリサイクル法」に基づいて、メーカーや自治体が指定する方法で、パソコンを回収して廃棄することが義務付けられています。
パソコンは自治体の通常の燃えるごみ・燃えないごみ・粗大ごみではなく、正しい方法で処分することが必要です。 また、個人情報の情報漏洩などの観点から、廃棄・処分時に考慮するべきデータ消去についての知識も必要です。個人から企業まで、くパソコンの廃棄方法とデータ消去で気をつけるべきポイントをわかりやすく解説します。
パソコンは正しい方法で処分すること
パソコンの廃棄方法
日本では以下のような方法で廃棄を行います。
パソコン3R推進協会に加盟しているメーカーによるリサイクル
パソコンを製造したメーカーが提供する回収してリサイクルしてくれるサービスです。
メーカーの公式ウェブサイトやカスタマーサービスで、回収方法や手続きの詳細を確認でき、回収されたパソコンは、再資源化施設でデータ破壊や素材の分解が行われ、再利用可能な材料として活用されます。
一般社団法人パソコン3R推進協会(PC3R協会)に加入しているメーカーの製品のうち、2003年以降に販売されたパソコンには「PCリサイクルマーク」が付いており、このマークがある場合は、無料で回収が行われ物理破壊などが行われてリサイクルされます。
PCリサイクルマーク
出典:一般社団法人パソコン3R推進協会(PC3R協会)
各メーカーの”家庭から廃棄するパソコン”の回収問合せ窓口
https://www.pc3r.jp/home/partner_list.html
事業用パソコンは対象外となりますが、企業など事業用のパソコンはどうすればいいのでしょうか?
事業用PCのリサイクル
https://www.pc3r.jp/office/index.html
事業用のパソコンについては、有料で対応することが可能となっています。
ただし、「ご依頼主様自身で回収前にHDDのデータ消去等を行っていただくようお願いしております。」と記載があります。
例えば、処理施設までの輸送中に紛失や盗難が発生した場合には、ディスクから情報漏洩などのリスクもあるためです。
企業のパソコンは、個人情報や機密データなどが含まれている可能性もあり、お客様自身で専用のデータ消去ソフトウェアなどでデータ消去後に、廃棄やリサイクルなどを依頼する事がベストだと私も考えています。
データ消去業者
専門のデータ消去業者に依頼することで、パソコンに保存されたデータを消去して、廃棄やリサイクルを行うことができます。
データ消去業者を選ぶ際には、信頼性のある認定業者を選ぶことが重要です。例えば、データ消去事業者のサービス内容や実績を確認し、パソコンのシリアル番号などが記載されたデータ消去証明書を発行してもらうことで、データが消去されたことを確認できます。最近では認定された第三者機関がデータ消去証明書を発行するサービスや消去ソフトウェア製品も広まっています。
家電量販店
家電量販店では、主に新しいパソコンを購入する際に、古いパソコンを回収するサービスを提供しています。 購入時に同時に回収を依頼でき、メーカーリサイクルの手続きを店側が代行する形などや、有料などのサービスで依頼できることもあります。パソコンの回収に合わせて、データ消去サービスを提供している家電量販店もありますが、どのようなデータ消去方法を提供しているかなどは確認した方が確実です。ご自身でデータ消去を実施した上で処理して貰うと安心だと思います。
お近くの家電量販店に問い合わせを行い、パソコンの廃棄や処分について確認してみてください。
パソコンを廃棄する前のデータ消去の重要性
パソコンを廃棄する際には、個人情報や機密データの漏洩を防ぐために、データの消去も必要です。
パソコンには多くの個人情報や業務データが保存されている可能性があり、情報漏洩すると個人のプライバシー侵害や企業の信用失墜につながるリスクがあり、企業などが個人情報を漏洩した場合、情報漏洩の責任を問われる可能性があります。
情報漏洩したデータが第三者に不正利用されると、様々な問題に発展することが考えられます。
データ消去の方法
パソコンを廃棄する際には、個人情報や機密データが漏洩しないよう、データを完全に消去することが非常に重要です。 WindowsなどOS標準のファイル・フォルダ削除や、ごみ箱へ入れて空にするという作業だけでは、専門的なツールを使用すれば簡単にデータの復元が行われてしまいますので、信頼できる方法でデータを消去する必要があります。
ハードディスクの初期化(フォーマット) ※非推奨
ハードディスクを初期化することで、すべてのデータが削除されます。
ただし、初期化(フォーマット)はデータ復元ソフトウェアを使えば復元可能です。推奨されていないデータ消去方法です。
リカバリーディスク、リカバリーイメージ ※非推奨
パソコンのディスク内部や、付属しているリカバリーディスクを使用してパソコンを工場出荷状態に戻すことができます。
個人データや設定が削除されますが、フォーマットと同様に安全とは言えない方法です。専門的なツールを使用すればデータが復元される可能性があり、推奨されていないデータ消去方法です。
「フォルダ・ファイルを削除」、「ゴミ箱を空」、「OSフォーマット」、「初期化する」などの方法は推奨されていません。
データ消去されたように見えて、データが実は残っている危険な状態です。本で例えると「目次」だけのデータを消去しており、「内容」まではデータ消去をしていません。実際に情報漏洩した事例もあり非常に危険です。
専用のデータ消去ソフトウェア
安全にデータ消去を行う方法の1つは、専用のデータ消去ソフトウェアを使用することです。専用のデータ消去ソフトウェアでは、ディスクに保存されていたデータを1回または複数回繰り返して上書きを行うことで、元のデータを無意味化することができます。コンピューターのデータは0と1の組み合わせで表されますが、例えば全てのデータを0で上書きすることで、元のデータが無意味となります。これを上書き消去と呼んでいます。上書き消去が実行されると一般的な復元ツールでは復元することができないことと、パソコンの利用者でも簡単な方法でデータ消去できます。上書き消去方式は、データ消去がしっかりと行えると共に、ディスクを再利用することも可能となるため、リース返却など破壊ができない場合やパソコンを再インストールして再度利用するなどの場合にも便利です。なお、データ消去の時間ですが、HDDやSSDなどのディスクの種類や容量や上書き回数によりデータ消去時間が左右されます。近年のHDDなどでは1回の上書きでも十分と報告されています。
磁気消去
強力な磁場を利用して、ハードディスクなどの記録媒体に保存されたデータを消去(消磁)する方法です。
ハードディスクなどのデータは磁気的な形で保存されているため、強力な磁場をかけることで、記録されたデータが無効化されて復元が不可能になります。時間も専用のBOXに入れた後に、数秒で消去することが可能です。磁気媒体が対象ですのでHDD、磁気テープ(ビデオテープやLTOなど)が対象となります。SSDなど最近のパソコンに搭載されているディスクでは磁気消去を行ってもデータが消去されません。磁気消去を行うと記憶媒体が使用不能になり、データ保存という意味では再利用できません。また、個人向けのパソコンなどには一般的ではありません。
磁気消去を行いたい場合、一般的には専門業者に依頼することになります。ディスクの取外しなどの作業も必要である為、それなりの費用が発生することが一般的です。大量にハードディスクや磁気テープだけが手元にあり、ソフトウェアなどの上書き消去が難しい場合などに利用する選択肢となると考えられます。
物理破壊
物理的に破壊することで、データを読み取れなくする方法です。 ハードディスクを機械で折りたたむ、ドリルで幾つかの穴を開けるといった方法で、記録媒体を物理的に壊すことができます。破壊してしまうので別のパソコンでの再利用はもちろんできません。物理破壊を行う事によりデータの読み取りが不可能になりますが、ハードディスクは破壊時に怪我をするリスクもあります。物理破壊が簡単だからといって、ハンマーなどで実際に怖そうと思っても、実際に行ってみると非常に大変です。まずはパソコンからディスクを取り出す必要がありますし、ディスク自体が非常に固いので個人が行う事には限界があります。一般の方で物理破壊を行う事は推奨されません。物理破壊は専門業者に依頼しましょう。また、専門業者ではハードディスク専用のシュレッダーを使用して、ディスクを細かく粉砕することもかのうです。破壊ではなくもっと細かいレベルの粉砕です。最近ではSDGsなどの持続可能な社会の実現という観点から、データ消去時に物理破壊が最初の選択肢になることは近い将来は減っていくと考えています。
パソコンの紛失・盗難対策に関するコラムをまとめたホワイトペーパーを公開
情シス担当者を中心に年間約6万人が訪れている人気コラムの中で、パソコンの紛失・盗難に関するコラムをめとめた総集編を提供しています。
(参考)暗号化消去
暗号化消去は、暗号化技術を用いたデータ消去です。
暗号化とは、機密データを暗号化という処理を行う事で、そのままでは読んでもわからない形にしてしまうことです。 暗号化されたデータを元に戻すためには、復号と呼ばれる処理が必要です。暗号化と復号には「鍵」を利用します。
暗号化と復号
暗号化消去の方法は、「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」で取り入れられました。暗号化消去では、データを暗号化されたディスクに保存しておきます。データ消去をしたい場合、暗号化に使用されていた「鍵」を消去することで、ディスクに保存されていたデータが読めない(復号できず元のデータが読み取れない)状態にすることです。
暗号化されたデータは残っているけれど、暗号化されたデータを元に戻すための鍵がないので、データが読めない。ということです。 家やマンションに例えるならば、自宅の鍵が全て無くなれば自宅の中に二度と入ることはできない。というイメージです。
暗号化消去
暗号化消去の主な用途はクラウドサービスなどのマルチテナント環境かつ大容量のデータです。クラウドサービスのデータ消去を上書き消去などで実施すると時間掛かる事や、クラウドサービスの場合は特定の顧客だけが利用しているデータを消去することは現実的に難しいためです。ただし、鍵管理の問題(スペアキーは本当に残っていないのか?)などの課題もあり、現時点では発展途上段階だと言えます。
ソフトウェア消去・磁気消去・物理破壊の比較
ソフトウェア消去、磁気消去、物理破壊の比較表を作成しました。
この表を参考に、目的や状況に応じたデータ消去方法を選択してください。
パソコンの廃棄等に関連する日本の法律・ガイドライン
日本におけるパソコン廃棄に関するガイドラインのリストは以下の通りです。
パソコンのリサイクル(資源有効利用促進法)
経済産業省のパソコンのリサイクル(資源有効利用促進法)として、使用済みパソコンの適切な回収とリサイクルを促進することを目的としています。
回収対象はデスクトップパソコン、ノートブックパソコン、パソコン用ディスプレイ(CRTおよび液晶式)が対象です。
タブレット端末やその他の周辺機器(プリンター、スキャナーなど)は含まれません。
回収方法として、使用者はパソコンメーカーに直接申し込みを行い、メーカーが回収とリサイクルを担当します。
再資源化が行われるため、回収されたパソコンは、データ破壊と分解を経て、樹脂や金属などの素材として再利用されます。
対象となるパソコン
パソコンのリサイクル(資源有効利用促進法)
https://www.meti.go.jp/policy/it_policy/kaden/index02.html
出典:経済産業省 パソコンのリサイクル(資源有効利用促進法)
環境省 使用済小型電子機器等の回収に係るガイドライン
主に小型電子機器に焦点を当てていますが、パソコンのリサイクルに関連する内容も含まれています。
「3R」と呼ばれる「Reduce(リデュース:削減)」、「Reuse(リユース:再使用)」、「Recycle(リサイクル:再生利用)」の3つのRを意味する言葉が定着しています。
- リデュース:不必要な消費や廃棄を減らすことにより、資源の使用を最小限に抑える。
- リユース:使用済みの製品をそのまま、または修理して再び使用することにより、新たな資源の消費を防ぐ。
- リサイクル:使用済みの製品を原料に戻すなどして再利用することにより、資源の持続可能な循環を実現する。
環境負荷を減少させるための原則や活動に関連して使われる概念であり、資源の効率的な利用や廃棄物の削減を目指す環境政策や取り組みの基本とされています。
環境省 環境再生・資源循環
https://www.env.go.jp/recycle/recycling/raremetals/index_rel.html
パソコンの紛失・盗難対策に関するコラムをまとめたホワイトペーパーを公開
情シス担当者を中心に年間約6万人が訪れている人気コラムの中で、パソコンの紛失・盗難に関するコラムをめとめた総集編を提供しています。
(参考)パソコンも貴重な資源
パソコンにはレアメタルなどの貴重な資源が含まれており、再資源化が促進されています。
金、銀、銅、プラチナ、パラジウムなどの貴重な金属が含まれています。レアメタルなどの金属は限られた資源であるため、単純に廃棄してもう一度採掘する・・・という流れでは高いコストが発生しますし、そもそも環境にもよくありません。 逆にパソコンには鉛や水銀などの有害物質が含まれている可能性があり、不適切に処分されると土壌や水質を汚染して環境に影響があり、結果的に私たちの健康を害する可能性もあるのです。
JEITA ガイドライン
日本電子情報技術産業協会が提供するガイドラインで、ハードディスクドライブ(HDD)などの記憶装置に保存されたデータを安全に消去する方法について定めています。
データを復元不可能な状態にするための具体的な手順が含まれており、個人や企業が情報漏洩を防ぐために従うべきプロセスが定められています。ガイドラインの改訂版では、SSDなど新しい技術にも対応しています。
JEITA パーソナルコンピュータ関係ガイドライン
https://home.jeita.or.jp/pc_tablet/guideline/pc.html
日本ITAD協会 データ抹消に関するガイドライン
IT資産の適切なリサイクルとデータの安全な抹消を目的としたガイドラインを提供しています。
ITAD(IT Asset Disposition)は、使用済みの情報技術(IT)機器を安全かつ効率的に廃棄、再利用、またはリサイクルするプロセスを指します。IT機器を処分する際に持続可能な方法で、データ消去・環境・コストを考慮して行います。
WEBサイトでは3つのガイドラインを提供しています。
データ抹消ガイドライン
リユースパソコンの更なる普及および適切なリサイクル(再資源化)の拡大を目指し、パソコンのハードディスクドライブ(HDD)内のデータを適切に抹消するためのガイドラインです。
スマートフォンデータ抹消ガイドライン
リユーススマートフォン・リユースタブレットの更なる普及および適切なリサイクル(再資源化)の拡大を目指し、スマートフォン・タブレットの記憶装置を適切に抹消するためのガイドラインです。
オンサイトデータ抹消ガイドライン
オンサイトでデータ抹消作業が適切に実施できるようにガイドラインです。
ITADではデータの消去と資源の再利用に焦点を当てています。再利用可能なIT機器はリサイクル業者によって適切に処理され、環境への負荷を最小限に抑えることが重要と伝えています。
一般社団法人 日本ITAD協会
データ消去に関連する国際的なガイドライン
NIST 媒体のデータ抹消処理(サニタイズ)に関するガイドライン SP 800-88 rev.1
このガイドラインは、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)によって作成されました。SP800シリーズ(SP: Special Publications)のSPとは、NISTが発行する技術ガイドラインやベストプラクティスをまとめたドキュメントシリーズのことを意味します。
媒体のデータ抹消処理(サニタイズ)に関するガイドライン SP 800-88 rev.1は、情報システムなどデータの安全な消去や媒体の適切な廃棄を実現するための指針を提供し、情報漏洩のリスクを最小限に抑えることを目指しています。
データ抹消処理には、「消去(Clear)」、「除去(Purge)」、「破壊(Destroy)」の3つの主要な方法が定義されています。消去(クリアー)はソフトウェアなど論理的なの技術を用いてデータを無効化し、除去は磁気などの技術を用います。破壊は物理破壊などの方法で再利用不可能にすることを目的としています。
SP 800-88 rev.1は初版が2006年9月に発行され、改訂版として「NIST SP 800-88 Revision 1」が2014年12月に発行されました。
セキュリティ関連NIST文書について
https://www.ipa.go.jp/security/reports/oversea/nist/about.html
IEEE Standard for Sanitizing Storage(IEEE Std 2883-2022)
IEEE(The Institute of Electrical and Electronics Engineers)は、電気・電子技術およびコンピューター科学の分野における世界最大の専門技術者組織です。IEEEが発行する標準規格は、業界標準として広く受け入れられ、世界中の技術者や研究者がそのガイドラインに基づいて技術開発を行っています。
このドキュメントでは、論理的および物理的なストレージを消去するための方法を規定し、データを安全に消去するためのさまざまな技術を説明しています。
「IEEE Standard for Sanitizing Storage」(IEEE Std 2883-2022)は、2022年6月16日に承認され、2022年8月17日に発行されています。
IEEE 2883-2022 IEEE Standard for Sanitizing Storage
https://standards.ieee.org/ieee/2883/10277
まとめ
パソコンを中心としてIT機器の廃棄に関するさまざまな方法について解説しました。
繰り返しますが、パソコンは燃えるごみ・燃えないゴミ・粗大ゴミではありません。
IT機器は適切に廃棄しなければならず、環境面だけでなく情報セキュリティという観点も考慮する必要があります。
パソコンの廃棄には、メーカー、家電量販店、専門業者など、いくつかの方法がありますが、いきなりメーカーや業者に預けても良いのでしょうか?私はデータが保存されたまま依頼するのは怖いと考えています。セキュリティの世界では性善説と性悪説の考え方の2つがありますが、データが保存されたまま依頼する事は性善説となります。相手が本当に信頼できることが重要です。その他にも輸送中などのトラブルでパソコンが紛失・盗難にあってしまう可能性もあります。最新のゼロトラストセキュリティという観点では性悪説を基本として考えるため、これをパソコンの廃棄のケースで考えてみると、メーカー・家電量販店・データ消去業者に依頼をするにしても、可能な限り自身で専用のソフトウェアなどでデータ消去を実施してから、各業者依頼する事がベストプラクティスだと考えられます。大量のディスクがある場合やコストの問題、技術や時間の問題がある場合には、データ消去作業を実施したことを後から確認できるようなサービスを行っている製品や業者を選択しましょう。
長くなりましたが、これらの方法を組み合わせることで、パソコンの適切な廃棄が可能となり、環境保護やデータ漏洩のリスクを最小限に抑えることができます。適切な廃棄を行い、社会的責任を果たしましょう。
★お知らせ★
ワンビ株式会社は、テレワークなどにパソコンが紛失・盗難が発生した場合に、リモートワイプ(遠隔データ消去)・リモートロック(遠隔ロック)で、パソコンの情報漏洩を防ぐことができるTRUST DELETEシリーズを開発・販売・保守を行っているセキュリティソフトウェアメーカーです。
ソフトウェアでデータ消去を行える技術を持ち合わせているため、企業向けのパソコンについて、パソコンの廃棄やリース返却時にお客様自身で簡単にデータ消去を実施できる製品も取り揃えています。第三者機関のデータ消去証明書に対応した製品も御座います。データ消去や情報漏洩対策についてお困りの方、疑問を解決したいかは是非お気軽にお問い合わせください。
この記事を書いた人
ワンビ株式会社
セキュリティエバンジェリスト 井口 俊介
高等専門学校卒業。大手企業のミッションクリティカルシステムのアカウントサポートを担当。
その後プロジェクトマネージャーにてITインフラの導入に携わる。
2020年からワンビ株式会社でエンドポイントセキュリティのプリセールスとして従事。営業技術支援、セミナー講演、コラムの執筆など幅広くセキュリティ業務に携わる。