廃棄とデータ消去
廃棄とデータ消去
IT機器の廃棄は「ゴミに出す」だけでは済みません。データ漏洩のリスクがあるため、適切なデータ消去と廃棄手続きが必要です。情シスとして、確実な廃棄プロセスを構築しましょう。
データ消去の3つの方法
| 方法 | 説明 | メリット・デメリット |
|---|---|---|
| ソフトウェア消去 | 専用ツールでディスク全体をランダムデータで上書き | 機器を再利用可能。時間がかかる(数時間〜)。SSD対応ツールが必要 |
| 磁気消去(デガウス) | 強力な磁場でディスクのデータを破壊 | 高速。ただしHDD専用でSSDには無効。機器は再利用不可 |
| 物理破壊 | ディスクを物理的に破壊(穿孔、破砕) | 最も確実。専門業者に依頼するのが一般的 |
NIST SP 800-88ガイドライン
米国国立標準技術研究所(NIST)が定めたデータ消去の国際的なガイドラインです。3つの消去レベルが定義されています。
- Clear(クリア): 標準的なソフトウェア消去。一般的な復元ツールでは復旧不可。社内再利用向け
- Purge(パージ): 高度な消去。専門的なラボでも復旧が困難。外部への譲渡・リース返却向け
- Destroy(デストロイ): 物理破壊。復旧は不可能。機密データの最終処分向け
一般的な企業データであればClearレベルで十分ですが、個人情報や機密情報を扱っていた機器はPurge以上を推奨します。
SSD特有の注意点
SSDはHDDとは異なる消去方法が必要です。
- SSDのウェアレベリングにより、通常の上書き消去では全領域をカバーできない可能性
- Secure EraseまたはCryptographic Eraseコマンドを使用(メーカー提供ツールを利用)
- 暗号化SSDの場合、暗号鍵を破棄するInstant Secure Erase(ISE)が最速かつ確実
廃棄証明書
データ消去・廃棄を業者に委託した場合は、廃棄証明書(データ消去証明書)を必ず受領しましょう。
- 証明書に含めるべき情報: シリアル番号、消去方法、消去日時、担当者名
- 写真付きの証明書があるとなお良い(物理破壊の場合)
- 証明書は資産管理台帳と紐づけて保管。監査時に提出を求められることがある
廃棄業者の選び方
- ISMS認証(ISO 27001)を取得している業者を選定
- データ消去作業の立会いが可能か確認
- 搬送時のセキュリティ対策(施錠可能な搬送ボックス、GPS追跡等)
- 適切な廃棄許可証(産業廃棄物処理業の許可)を保有しているか
環境配慮(リサイクル)
IT機器は「小型家電リサイクル法」の対象です。適正なリサイクルルートで処理しましょう。
- メーカーの回収サービスを利用(多くのPCメーカーが法人向け回収を提供)
- リユース可能な機器は中古買取業者に売却(データ消去は自社で実施してから)
- 産業廃棄物管理票(マニフェスト)で廃棄の追跡管理を行う
機器の廃棄は情シスの最後の仕事ですが、データ漏洩事故は廃棄段階で最も発生しやすい場面の一つです。「どうせ壊すから」と雑に扱わず、導入時と同じレベルの注意を払いましょう。
✅ 完了済み