昨年12月、神奈川県で発覚したブロードリンク元社員によるハードディスク(HDD)転売事件を機に、記録媒体を廃棄する際のデータ消去が自治体でも甘い管理体制にあることが浮き彫りになった。今回の事件を受け、データ適正消去実行証明協議会(Association of data Erase Certification、ADEC、荻原紀男会長)ではデータ消去のフローを見直すよう呼び掛けている。

ADEC
加藤 貴 副委員長

 もともと神奈川県は、富士通リースとリース契約を結んでおり、同県は契約満了に伴ってサーバーやHDDを含むハードウェアを返却した。富士通リースは返却された機器の廃棄処分をブロードリンクに委託。しかし、作業担当者のブロードリンク元社員(昨年12月に解雇)はデータ消去を行わずに機器に付属する記憶媒体をネットオークションで転売。これを購入した利用者が機器内のデータを復元した際、公文書などが発見されたことから事態が判明した。

 ADECの副委員長でワンビの加藤貴社長によると、神奈川県と富士通リースが交わしている契約の中にはデータ消去を完了したことを示す証明書を提出することも含まれていたが富士通リースはこれを提出しておらず、神奈川県庁も証明書を受け取っていないにもかかわらず催促をしていなかったという。また、ブロードリンク内では処分予定の機器について全ての個体管理を行っていなかった。加藤副委員長は「そもそもデータが入っているのはPCやサーバーではなくそれに付随する記憶媒体。本来データ消去を事業として成り立たせるためには機器のシリアル番号で管理するのではなく記憶媒体ごとに管理するべきだ」と指摘する。

 また、今回の事件によってこれまで安全性を担保する基準とされていたISOやISMSといった規格を適用するのが的確かどうかという議論もある。「これらの規格はもともとモノを作ることを前提に制定されたもので、モノを壊したり、廃棄することを証明するのに適していたわけではない。今こそデータ消去について真剣に取り組まなくてはいけない段階にきている」と加藤副委員長は警鐘を鳴らす。

 ADECは、コンピュータソフトウェア協会(CSAJ)によって18年2月に設立された団体で、第三者によるデータ適正消去実行証明書発行事業の展開とそれにかかわる調査・研究などを行っている。近年ではデータ消去作業のフローを改めて見直し、適切にデータを消去するための技術をまとめたガイドブックを作成。18年5月にはADECが定めた基準を基にCSAJが「データ適正消去第三者証明サービス」を開始している。

 同サービスはADECという第三者がデータ消去事業者に対して完全にデータを消去していることを証明するサービス。具体的には、ADEC証明書の発行を依頼された事業者は対象機器の固有番号(製造シリアル番号、ストレージ型番など)をADECのシステムに登録、処理番号を発行する。その後、ADECが認証したソフトでデータ消去を実行し、消去実行情報と処理番号を照らし合わせ、適合した場合に証明書を発行する。加藤副委員長は「転売事件の対策として職員の立ち合いなどが挙げられているが、今回の事件はヒューマンエラーが原因となっている以上、それを人で解決するのはロジックが成り立たない。システム上でデータ消去処理を管理し、なんの利害関係もない第三者がそれを証明する仕組みが必要になっている」と強調する。(銭 君毅)