データ消去証明書
データ消去証明書とは
データ消去証明書とは、パソコンなどの情報機器に搭載されるHDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)などの記憶媒体に保存された個人情報などのデータが、適切な消去方式できちんと消去されたことを証明する証書です。
データ消去証明書があることで、企業はIT機器の記憶媒体に保存された情報の消去が適切に行われたことを証明することができます。
データ消去証明書の内容
- メーカー名: 製造元情報が記載されます。
- 製造番号(シリアル番号): データ消去した機器を一意に特定する番号が記載されます。
- ドライブ情報: HDDやSSDなどのディスクを一意に特定する番号が記載されます。
- 消去事業者情報: データ消去作業を実施した事業者名などの情報が記載されます。
- 消去ソフトウェア情報: どの会社のどの消去ソフトウェアで、どのような消去方法でデータ消去されたのかが記載されます。
- 消去結果: 消去した結果が成功なのか失敗なのかが記載されます。
- 証明書発行シリアルナンバー: データ消去証明書を一意に特定する番号が記載されます。
データ消去証明書には、様々なフォーマットやテンプレートが存在していますが、データ消去対象と結果が証明書によって一意に特定できる必要があります。
ご紹介したデータ消去証明書は、ソフトウェア消去方式の証明書でしたが、物理破壊による方法では、データ消去前後で対象のディスクの写真結果を用いて、データ消去証明書を発行する場合があります。
詳しくはこちらから
総務省が求める情報機器の廃棄とデータ消去証明
PCの廃棄時・リース返却・再使用時
2020年12月に総務省はセキュリティポリシーに関するガイドラインを改定し、情報機器の廃棄やリース返却時にも、元のデータの復元が困難な消去方式と、データ消去証明書を求めるようになりました。
例えば、機器の廃棄等については「情報システム機器が不要になった場合やリース返却等を行う場合には、機器内部の記憶装置からの情報漏洩のリスクを軽減する観点から、情報を復元困難な状態にする措置を徹底する必要がある。」データ消去証明書についても「完了証明書により確認する方法など適切な方法により確認を行う。」との記載があります。
出典:総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン
https://www.soumu.go.jp/main_content/000727474.pdf
背景 なぜ総務省はデータ消去証明書を求めたのか?
2019年12月に神奈川県庁で発生した「世界最大級の情報漏洩事故」と言われる事件では、リース返却前にHDDに対して初期化したにも関わらずデータが流出しました。
総務省はこの事件をきっかけとして、情報を復元困難な状態にするデータ消去方式と、データ消去証明書が求められるようになりました。復元困難な状態とは、適切なデータ消去方式でデータ消去したあとに、その記憶媒体に保存されいた元のデータは読み取れないようにするという意味です。この事件は専用の消去ソフトウェアによる情報を復元困難な状態にするデータ消去と、データ消去証明書の対策が確実に実施されていれば、このような大きな情報漏洩を防止できたと考えられます。
簡単に元のデータが復元できる現実
データが残る消去とは?
- フォルダ、ファイルを削除
- ゴミ箱を「空」
- フォーマット(初期化)
- OSの再インストール
復元困難な消去とは?
- 信頼のある消去ソフトウェアを使用する
- 本の目次に加え、本の内容を消去する
(実際のデータを消去) - 復元ツールを使用しても復元が困難な状態にする
私達が日常で行っているファイルやフォルダの削除、ごみ箱を空にする、設定の初期化やフォーマットなどでは、実は中身のデータが消えていません。データ復元ソフトがあれば簡単に復元できてしまいます。復元困難な状態を実現するデータ消去方式としては、信頼あるデータ消去ソフトウェアを使っての消去、強力な磁気による消去、物理的なハードディスクの破壊などの方法があります。
データ消去方式の比較
| 項目 | ソフトウェア消去 | 磁気消去 | 物理破壊・破砕 |
|---|---|---|---|
| 消去方式 | 上書き消去 | 強磁界による消去 | 専用機で破壊・破砕 |
| 消去レベル | 消去(Clear) | 除去(Purge) | 破壊(Destroy) |
| 対象 | 企業全般 | 企業・官公庁など | 官公庁マイナンバー等 |
| HDD | 〇 | 〇 | 〇 |
| SSD | 〇 | × | 〇 |
| リユース(再使用) | 〇 | × | × |
| リース返却対応 | 〇 | × | × |
| データ消去証明 | 〇 | 〇 | 〇 |
| SDGs | 〇 | × | × |
詳しくはこちらから
特別公開動画 廃棄する機器のデータ消去を正しく行うためには?
東京電機大学研究推進社会連携センター 顧問 客員教授 佐々木良一氏より、保存しているデータを正しく消去して情報流出を防ぐためにはどうすればいいのかを解説しております。
第三者データ消去証明
注目が高まっている第三者データ消去証明
最近では第三者機関が発行するデータ消去証明書が注目されています。記憶媒体に対するデータ消去が、信頼あるデータ消去方式できちんと消去が行われたかを確認した後、第三者機関からデータ消去証明書が発行される仕組みです。
これまでの一般的に発行されるデータ消去証明書は、廃棄業者自身が発行する自己証明書であるという課題があります。
WEBサイトを代表するインターネットの世界でも、第三者機関が認証するサーバーやクライアント証明書が発行されているように、データ消去の世界でも第三者証明が発行するデータ消去証明書が注目されています。
第三者証明機関
第三者証明機関はデータの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的とした組織です。
第三者証明機関のデータ消去証明書は、適正にデータ消去が完了した場合データ消去証明書の発行が可能です。
第三者機関によるデータ消去証明書により、適正なデータ消去が完了したことの証明となります。
第三者機関が発行するデータ消去証明書のメリット
第三者機関が発行するデータ消去証明書の最大のメリットは、手元に記憶媒体が存在しなくても証明書によりデータ消去の証明が完了することです。IT管理者ではない利用者自身による消去、廃棄業者やパートナーによるデータ消去作業の結果を、第三者がその結果をきちんと証明することができるためです。
このため、データ消去事業者自身で発行する自己証明書における「本当にデータ消去が適正に完了したのか?」の課題を解決します。
データ消去証明書発行サービス対応製品
ワンビの数多くの製品・サービスは、第三者証明機関から、「適正な消去技術に基づいた消去ソフトウェアの提供が可能」と認証されているため、復元が困難な消去方式と、安心のデータ消去証明書を発行することが可能です。
まとめ
データ消去証明書ついて、背景・事例・対策についてご紹介させて頂きました。
ワンビでは情報漏洩対策の製品やサービスを中心とする幅広いラインナップを取り揃えています。
盗難・紛失対策から情報機器の廃棄・リース返却時における復元が困難な状態を実現し、第三者証明機関のデータ消去証明書を発行できる製品を取りそろえています。
ご興味が御座いましたら是非弊社にお問い合わせください。
あわせて読みたい
詳しくはこちらから