ブログBlog

HDDからの情報漏洩を防ぐためにやるべきこと

  • ITキッティング

先日ニュースで地方公共団体のハードディスクがネットオークションに出品され大量の個人情報が流出された事件が話題になっていました。地方公共団体はリース会社を通じて業者にデータ消去や廃棄を委託していたようですが、この業者の社員がハードディスクのデータ消去が不完全のまま持ち出し、ネットオークションで販売してしまったとのことです。
前々回のブログ【データ消去について】でもパソコンの入れ替えや廃棄の際のデータ消去の重要性について書きましたが、今回このような事件が起こったことを受けて、データの流出を防ぐためにデータ消去や廃棄の際にやるべきことや確認すべきことについて、もう少し具体的に取り上げてみたいと思います。

HDD情報流出をなぜ防げなかったのか

今回のHDDからのデータ流出事件では、地方公共団体はサーバーのリース期間終了に伴い、HDDを初期化の上リース会社へ返却をしていました。そしてリース会社は業者に物理的破壊と廃棄を依頼しました。しかし、リース会社は適切に物理的破壊や廃棄をされた作業証明書を業者から受け取っていなかったようです。
データ消去を請け負った業者は、作業証明書の発行が必要ないHDDをまとめてカゴのなかにいれ、そこから順次HDDの物理的破壊を行っていたとのことです。今回の事件ではこのカゴのなかからデータ消去前のHDDが持ち出されてしまいました。

●地方公共団体はリースしたサーバーを返却後、データ消去や廃棄の確認をしていなかった。
●リース会社は作業証明書を業者から受領していなかった。
●業者はデータ消去前のHDDについて厳格な管理を行っていなかった

では今回のようなデータ流出を防ぐためにはどのような対応を取るべきでしょうか。

HDDからの情報漏洩を防ぐために

データ消去にはいくつかの方法がありますが、消去されたことを見た目で把握できるのは「物理的破壊」です。今回の事件でもリース会社は業者にこの方法によるデータ消去を依頼していました。しかし今回の事件のケースでは物理的破壊が依頼通りに実施されたことの確認がされていませんでした。

JBLではご依頼に応じて作業証明書の発行の際に破壊前、破壊後の写真を証明書に添付したり、HDDのシリアル#を記録した一覧を提供することが可能です。業者に対して作業を依頼するだけでなく、確実に破壊されたことを証明できるデータを取得しておくことが大切かと思います。

●作業証明書や写真などでデータ消去が確実に行われたことを確認し、エビデンスを残しておく。
●破壊されたHDDのシリアルナンバーを取得しておくことがベター

HDD破壊前と後の写真
JBLでお客様へ提供したHDDの物理破壊前と後の写真の一例。

一番確実なのがデータ消去作業に立ち会うことでしょう。今回の事件での対策としても地方公共団体は今後データ消去を立ち合いのもと行うことを挙げています。JBLでも作業時の立ち合いをしていただくことが可能です。またオンサイトでの作業もご依頼に応じて行っておりますので、お客様ご自身のオフィス等内で立ち合いのもと作業が可能です。

●データ消去作業へ立ち合いをする

また、データ消去を業者に依頼する際は、事前にその業者のセキュリティや預かったHDDの管理方法を確認されるとよいかと思います。今回の事件ではデータ消去される前のHDDが持ち出されていました。施錠管理や、数量、シリアルナンバーの管理など、預かったHDD等をどのように管理しているかを確認してから安心して機器を預けることができる業者を選定するべきでしょう。

●業者の施設のセキュリティや物理的管理方法を確認する

情報漏洩対策まとめ

●HDD破壊後の写真の受領し確認する
●データ消去したHDDのシリアル#を取得する
●作業証明書を取得する
●消去作業への立ち合いをする(オンサイト含む)
●業者選定の際、セキュリティやHDD等の物理的管理方法を事前に確認する