menu

パソコン情報漏洩対策のセキュリティコラム

menu

データ消去証明書は「個人情報の保護に関する法律」に対して有効か

2021.10.16
データ消去証明書は「個人情報の保護に関する法律」に対して有効かのアイキャッチ画像
ホーム > パソコン情報漏洩対策のセキュリティコラム > データ消去証明書 > データ消去証明書は「個人情報の保護に関する法律」に対して有効か

データ消去証明書は、廃棄予定のパソコンやリユースするパソコンのハードディスク内から、機密情報を外部に漏らさないための有効な手段です。一方で、データを適切な方法で消去することは、個人情報保護の観点からも極めて有効です。

本記事では、データ消去証明証が、どのような観点から法律に対して有効な手段と言えるのかを解説します。

目次
  1. 「個人情報の保護に関する法律」における個人情報の削除について
  2. 総務省の地方公共団体における情報セキュリティポリシー
  3. 第三者機関の第三者証明サービス
  4. 様々なインシデントの発生防止に期待
  5. まとめ

「個人情報の保護に関する法律」における個人情報の削除について

個人情報の保護は、法律上どのような定められているのか「個人情報の保護」に関する法律のガイドラインから、利用が必要になくなった際の個人データの消去について解説していきましょう。

「個人情報の保護に関する法律のガイドライン(通則編)」法第19条によると、

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

と明記されています。

これは、個人情報の利用が必要なくなった場合、企業はその個人データを速やかに削除することが「努力義務」として求められているものです。努力義務のため、罰則は無いものの、法律として明記されていることを、企業は認識しておく必要があります。

顧客から提供された個人情報を管理する企業であれば、ガイドラインに沿った管理を行わないと、情報漏えいのリスクは高まり、仮にインシデントが発生した場合には、企業が受けるダメージは計り知れません。個人情報を適切に扱うためには、どのような扱いをすべきか、正しい知識として理解しましょう。

総務省の地方公共団体における情報セキュリティポリシー

「個人情報保護に関する法律」を元に策定された「総務省の地方自治体における情報セキュリティポリシー」にも、廃棄に関する情報が明記されています。

総務省が推奨しているコンピューターやハードディスクの記録媒体の処理方法として、以下の方法が挙げられています。

  • データ消去用のソフトウェアを利用する
  • 専門業者のデータ消去サービスを利用する
  • ハードディスクや記録媒体を物理的に破壊する

いずれの場合も、必ず情報管理担当者が責任をもって取りまとめて適切な消去を行ったうえで廃棄するなど、企業内でルールを定めて徹底することが必要不可欠となります。

データ消去方法を選択する際は、政府が推奨するやり方を意識して適切な方法を検討することが必要です。

(追記)
令和5年3月の総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定では、「情報資産の廃棄」において、サーバーやパソコン等のHDDやSSDなどの重要情報が保管されている情報資産を、最終的に廃棄やリース返却する際のポイントがガイドラインにまとめられていますが、本コラムでもそのポイントを紹介しています。

(参照:本コラム【令和5年3月改定】総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定ポイント解説

第三者機関の第三者証明サービス

パソコンやデジタル端末が個人的にも企業活動においても欠かせないアイテムとなったことで、ネットショップの購買データをはじめ様々な個人情報などの機密情報が企業内のデジタル機器に蓄積されています。

一方で、パソコンの寿命を5年とした場合、2010年に生産されたパソコンが、2015年には約1600万台が使用できなくなっています。そのうち、リサイクル業者が廃棄したパソコンはわずか約70万台。適切な方法で処理されていないパソコンが市場に多く出回り、情報漏えいのリスクにさらされている状況にあります。

このような背景から、第三者機関がデータが適正に消去されることを証明するサービス「データ消去証明書」発行サービスが2018年頃から開始しました。

それまでは、廃棄業者自身が「データ消去証明書」を発行するケースもありましたが、その場合、その廃棄業者を信用するほかありませんでした。

つまり、「個人情報の保護に関する法律」や総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を遵守できていたかどうか証明することができなかったのです。

現に、2019年、神奈川県庁が業者に廃棄を依頼していたにもかかわらず、HDD(ハードディスクドライブ)18個がインターネットオークションサイトで転売され、情報が流出したインシデントが発生しています。

しかし、第三者による証明が開始されたことで、適正にデータ消去が行われたことを証明することが可能になり、同時に、データ消去時に「データ消去証明書」発行サービスを活用することで、「個人情報の保護に関する法律」の“個人データの消去”についても遵守することが可能になったといえるでしょう。

様々なインシデントの発生防止に期待

今後、第三者による「データ消去証明書」のサービスが浸透し、パソコン廃棄の際は、必ずデータ消去証明書が必要という流れになれば、さまざまな情報漏えいを未然に防ぐことが可能です。

前述の神奈川県庁のインシデントも、第三者によるデータ消去証明を行っていれば、未然に防ぐことができ、例え廃棄業者がハードディスクを転売したとしても、個人情報や機密情報が流出することはなかったでしょう。

パソコンのデータは、ゴミ箱を削除してもハードディスク内に残っています。復元できないようにするためには、専用のソフトウェアによる削除や、物理的な破壊が必要です。

専門的な知識が無くても、確実にデータ削除をできる方法として、デジタル消去証明書は今後もさまざまなインシデントを未然に防ぐ可能性があります。情報社会に変化している今だからこそ、様々な情報インシデントを防ぐ手段として、デジタル消去証明書は法令遵守に有効な手段と言えるでしょう。

まとめ

以上のことからわかるように、第三者によるデータ消去証明は、法令を遵守する手段として有効であることが理解できたと思います。また廃棄後にパソコンの盗難や紛失が発生しても、データ消去証明書を発行していれば、個人情報や機密情報が流出する恐れもありません。

今後、「データ消去証明書」がさらに認知・普及されることを望んでいます。