IT機器廃棄のリスク。知らないといつの間にか情報漏えいしてしまう?

パソコン物理的破壊

「今、従業員に貸与しているパソコンの廃棄はどのように考えていますか?」

「廃棄するパソコンに保存されているデータはどう処理しますか?」

昨今、会社として情報セキュリティやコンプライアンスが重要視されています。廃棄するときのパソコンなどのIT機器のデータ消去は企業としての責任であり義務だといえます。

 

■廃棄するパソコンに潜むリスク

使わなくなったIT機器の廃棄には、自社購入で産廃業者に引取ってもらったり、レンタルやリースのようにそのまま返却する手段があります。

理想をいえば、廃棄(もしくは返却)する前に自分たちでデータ消去するか、業者に“自社内で”データ消去してもらうことが望ましい手段です。そのほうが本当にデータを消去したかもわかりますし、輸送時の盗難・紛失などの事故リスクも抑えることができます。

しかし、処理を行うスペースや電源の確保、操作の正確性といった問題もあり、引き取ってもらったあとでデータを消してもらうことが現実的でしょう。

しっかりとした業者と契約していれば、データ消去について具体的な手段や処理後の報告があるためそれほど懸念する必要はありません。しかし中には消去せずにリユース・リサイクルに出してしまう業者もいるようです。

ネットで調べる限り、“廃棄したパソコンから情報漏えい”のニュースは他の漏えいと比べ多くありません(露見している限りではということです)。とはいえ、1回の事故で会社に甚大な損害を与えることになるため、“自分たちのことは自分たちで守る意識”をしっかりと持つことが重要です。

 

■業者について事前調査をして、信頼できるところを選ぶ

具体的に、セキュリティや個人情報のニュースを扱うWebサイト「Security NEXT」で調べてみますと、廃棄後の漏えい事件は、2006年と2008年に少なくとも1件ずつあったようです。

意外に少ないと思うかもしれませんが、廃棄のように自分たちの管理から離れた漏えいは、それが起こったとしても気づかない可能性もありえるため、軽視してはいけません。

そのため業者選定は、レンタル・リースまたは廃棄依頼する場合でも、コストだけで選定するのではなく、企業情報や沿革、実績、インフラの評価を行ったうえで納得できるところに依頼することが大事です。

仮に料金重視をするならば、他社に比べて安い、合理的な理由をきちんと知っておくべきです。他社より安いということは“何かを削っている”可能性があるからです。その“何か”が設備や社員教育であれば再考する必要があるかもしれません。

 

■データ消去はHDDの初期化が一般的

HDD

パソコンを例にデータ消去の手段を説明します。

データ消去は、「ゴミ箱を空にする」だけでは専用のソフトで復元できてしまいます。またWindows OSでは「Shift + Delete」を行うと完全にデータを消去できるように思えますが、これも「ゴミ箱を空にする」と同様に専用のソフトで復元できてしまいます(全て復元できるとは限りません)。

基本的には初期化することが、特に専門知識も必要がないので、一番手軽な方法です。フォルダをひとつずつ消去するのではなく、HDD(ハードディスク)ごと一括でデータ消去します。

しかし、HDDの初期化も技術的には復元できてしまいます。完全に消去したいのであれば、専用のソフトを利用します。

ソフトには有料、無料のものがあります。アメリカ国防総省でも採用されているような消去方法など、いくつか方法がありますが相当な時間がかかります。現在はHDDの容量も大きいので、1台あたりの作業完了時間は10時間以上かかることもあります。

最も良い方法は、HDDを物理的に壊すこと(破砕すること)です。HDDのガワは想像以上に頑丈なので、破砕中に怪我をすることがあるので注意です(通常は専用の機械を使用します)。

いずれにしても業者に廃棄を依頼するのであれば、最低限HDDの初期化くらいは行っておいたほうがよいでしょう。

また、複合機などのOA機器の廃棄や返却は見逃されがちですが注意が必要です。業務用のデジタルプリンタにはHDDが内蔵されていたり、SDカードが差し込まれていたりして、データが残るようになっています。

一般的にはリース返却時や入れ替えの際に業者に消去依頼をします。自分たちでも、分解に近いかたちでHDDの取り出しやSDカードの抜き取りは可能です。ただし、リース返却前で故障させてしまう事態を避けるためにも、そのまま引き取ってもらい業者側でデータを消去してもらうようにしましょう。

 

■対処方法による影響を予測する力をつける

「そうはいっても、結局、業者に廃棄のタイミングで任せれば問題ないでしょう?」という意見もあるでしょう。

それで問題ないことのほうが多いのは確かですが、廃棄方法ごとにどのようなリスクがあるかはきちんと予測しておくことが必要です。

「業者に任せれば問題ない」は、あまりにも無防備ですし、思考停止すぎます。少なくとも「効率」「コスト」などと「リスク」を比較し、許容できる方法を選択できる基礎知識は社内の誰かが習得しておくべきです。

IT機器の廃棄は、物理的な廃棄とともに“見えないデータ”の廃棄が必要になるため、慣れていない人にとっては非常にやっかいです。さらにインターネット上に保存しているデータも加わってくると、「正しい廃棄方法」が何であるかは、ますますわからなくなります。

最終的に業者に任せるとしても、「IT機器のデータ消去は企業としての責任であり義務」であることはしっかり理解しておきましょう。

ライタープロフィール

くもと編集

くもと編集

マーケター兼編集者

NOC 当コンテンツの編集者。 宝飾業界と広告会社を経て2008年 NOC入社。営業や制作ディレクターを経験し、現在はWebマーケティング担当兼当コンテンツの編集を担当。 「NOCのサービスに直接関係のない記事であっても、読んでくれた方の役に立つ情報をお伝えしていきます。」