データ復旧センターは高度な復元技術が特長の復元サービス事業者です。あらゆる端末障害の回復・救出に対応。
データ復旧センター
相談窓口(技術部直通):050-5360-2062
受付時間:9:00~22:00(不定休)

データ消去業者からの情報流出の危険性・安心できるサービスの選び方

コラム

データ消去サービス業者の選び方

データ消去サービス業者へHDDやパソコンなどのデータ消去を依頼したのに、その業者から記憶媒体が転売されて情報流出に至った事件(神奈川県行政文書流出事件)が注目を浴びています。特に漏洩したデータが個人の税金滞納履歴や職員評価内容などの非常にセンシティブな行政文書であることから重大な情報漏洩事件と言えます。

この事件の構図は単純です。機器の耐用年数経過などによりデータ保存媒体を交換し、不要となったハードディスクやUSBメモリ、スマートフォンなどをデータ消去業者へデータの完全消去を依頼したところ、従業員がメディアを盗み転売し、購入者へデータが流出したというものです。数千点もの転売出品に至るまで事態を把握できないという業務管理体制・従業員のモラル管理の不足が事態を悪化させました。

率直に申し上げて、このような事はいつ発生してもおかしくありません。何故なら、記憶装置が中古市場で価値を持つ以上、転売したら利益を生むからです。データ消去の依頼を受けたのち、悪意ある人物が存在しただけで大変なリスクとなります。弊社もデータ消去サービスを提供していますが、提供している立場であるが故にこういった事件・事故が発生する危険性は高いものと考え、常に情報保護体制の強化を図っています。

再利用(リユース)目的の転売自体が悪いわけではありません。実際、法人リース用のパソコン等はオークションサイトや中古パソコン販売店などで広く販売されています。問題なのは、中古製品として再販売する前に確実にデータ復元できないようにデータ消去を行わなければならないことです。殊に情報保護の重要性が叫ばれている昨今においては専門的なデータ復旧技術をもってしても復元できないようなレベルでの消去が推奨されます。

では、数ある業者が提供するデータ消去サービスを選択する際にどのようなことに注目すべきなのでしょうか。弊社が推奨するデータ消去サービスのポイントをご説明します。

リユース(再利用)事業を行っている業者には注意

データ消去サービスの提供業者は大別して「データ消去のみ行う業者」「リユース事業も行っている業者」の2つがあります。データ消去のみを行う業者は単純に依頼された記憶装置のデータ消去を行うことを目的とすることに対し、リユース事業も行っている業者はデータ消去後の端末を転売することも視野に入れています。弊社の場合データ消去のみを実施し、作業後に端末は返却・処分します。リユース系のデータ消去業は主に家電リサイクル業者や中古パソコン販売店が多いです。転売される可能性がある以上、第三者に記憶装置(情報)が渡ることになり情報流出の危険性が高まります。もちろん、確実なデータ消去を行うならば安全ですが、データ復元技術も高度なものがあり不十分な消去作業ではデータが再現化されてしまう恐れがあります。

また、データ消去は機器の再利用を可能とする「論理的消去」と機器の再利用が不可能な「物理的消去」があります。データ消去の確実性が高いのは物理的消去です。当然、リユースを前提とする場合は機器の再利用が不可能な物理的消去は採用しません。売り物にならなくなるからです。

データ流出リスクを低減させるには、リユースを可能としたデータ消去サービスを控えることが大切です。リユース事業を並行している業者を利用する際は、再利用禁止条件を契約に付加させることが必要です。

プライバシーマーク・ISO認証取得だからといって安心しない

有名な情報保護規格の認証はプライバシーマークやISO27001などがありますが、これらを取得している業者だからと言って安心するのは禁物です。規格は取得しても、肝心なのは運用を徹底することだからです。実際、これらの取得企業による情報流出は過去に多く発生しています。

認証取得の事実だけではなく、実際にどのようなデータ消去サービスを提供し作業後の記憶装置はどのような処理が行われるのか個々に確認することが大切です。

シリアル番号単位で作業管理しているサービスを選ぶ

HDDやSSDなどの記憶装置には通常、個体番号を示すシリアルナンバーが割り振られています。データ消去サービス業者は受注後に作業を行う際、シリアル番号単位で管理していない場合があります。このような場合、万一情報流出事故が発生した場合にどの記憶装置から漏洩したのか追跡することが困難になります。そのためデータ消去サービスを選択する際は記憶装置のシリアル番号ごとに作業経過を管理している業者を選ぶことが望ましいです。当然のことながら、消去作業を実施したことを証明する消去作業証明書の発行に対応しているサービスをおすすめします。

複数の消去方式に対応している業者が望ましい

データ消去技術は多数あり、メディアの特性によって最適なデータ消去工程を実施する事が情報漏洩リスクの低減に繋がります。データ消去サービスを選択する際は、メディアの種類や使用状況、今後の取り扱いを考慮し最適なデータ消去作業を提案・実行できる業者を選ぶことが望ましいです。

また、データ消去は複数の手法を併用することで効果が高まります。特に重要なデータについては、複数のデータ消去サービスを併用実施すると効果的といえます。

まとめ

上記のようにデータ消去サービスを選ぶポイントをご説明しましたが、データ消去業者との取引は「信用」が大事です。データがどのように消去処分され、作業後に端末が処分されるのか・返却されるのか、消去作業証明書は発行できるのか、サービス利用時に詳しく確認することが大切です。

弊社ではお客様の要望に合わせた最適なデータ消去サービスを提供し、端末の再販売を目的とした回収・リユースは行っていません。データ消去サービスの詳細についてご質問等がございましたらお気軽にお問い合わせください。

お問い合わせ