2019年12月、県がリース契約していたパソコンのHDDのデータ削除を請け負った某会社に所属していた元社員の男性がデータを削除せずにHDDを転売していたことが明らかになりました。本件について責任の所在は複数にわたりますが、機密情報をきちんと破棄する、破棄したか確認する、業者に委託せずに自分たちで破棄するなど、二重三重の対策を取ることが重要です。個人情報や外部に公開できない情報を取り扱う企業や官庁が気を付けるべき管理方法について解説していきます。
1.データが保存されている場所はHDD(ハードディスク)
パソコンを普段利用する際、データをデスクトップに保存したり、Cドライブと呼ばれる場所に保存する方が多いのではないでしょうか。
デスクトップやCドライブはそれぞれ独立しているようですが、裏ではHDDという場所に繋がっており、それぞれの場所でデータを削除してもHDDにはデータが残っています。パソコンから操作をすることは難しいですが、データ復旧ソフトや専門業者等を利用すると誤って削除してしまったデータを復旧させることができます。
パソコンを買い替える際、外付けHDDにパソコン内部のデータをコピーするバックアップ方法が紹介されていますが、パソコンにあらかじめ内蔵されているHDDを移行することができれば外付けHDDへのバックアップは必要なく、新しいパソコンで古いパソコンのデータを閲覧したり編集することができます。
しかし、パソコンの型により利用できるHDDに大きく制限があるのでこの方法はあまり現実的ではないです。
2.パソコンのゴミ箱や削除機能だけでは完全にデータは消えない
Windowsの場合、保存したデータを完全に削除したいときは、ゴミ箱に入れた後「ゴミ箱を完全に空にする」というボタンをクリックしてパソコン内から完全に削除する方法を取ると思います。
しかし、データが完全に消えたわけではなく、HDDと呼ばれるパソコンの内部に入っている補助記憶装置にデータがまだ残っているのです。
このHDDのデータを完全に削除しなければ、データを復旧させることが可能になります。
本来消したくなかったデータの場合は嬉しいはずですが、パソコンが不要になり処分した後、第三者の手によりデータを抜き取られてしまうと個人情報の流出・悪用に繋がりかねません。
「パソコンのデータが保存されている所はHDDである」と念頭に置いておきましょう。
3.パソコンに残ったデータの削除方法
HDDそのものを物理的に破壊する
パソコンに内蔵されているHDDは、専門の知識が無くても簡単に取り外せるようになっています。
パソコンを裏にして、ネジを取り外すと銀色か黒色の長方形の箱が見えます。
こちらを取り外し、トンカチなどで破壊し、物理的に使えなくさせることでHDDのデータを完全に削除させることができます。トンカチを利用しなくても、HDDを破壊させるための専用の機械も流通していますので、大量にHDDを壊す必要がある場合は専用機械の購入も検討に入れましょう。
破壊後にHDDを再利用することはできませんが、再利用できない分データの管理に厳しい企業・行政・一部の個人の方におすすめの安全なデータ削除方法です。
専用のソフトウェアで初期化させる
自分でHDDのデータを削除させるもう一つの方法は、専用のソフトウェアをインストールしてHDD内のデータを初期化させることです。
無料のソフトウェアから有料のソフトウェアまで幅広くありますが、無料のソフトウェアだと削除能力が低いものもあるので口コミや削除のための手順をよく確認してから判断をして利用することをお勧めします。
専門の業者に依頼する
HDDの破壊やデータの完全削除のサービスを行っている専門業者も存在します。
専門業者では強力な磁気を利用してHDDの中のデータを記憶する部分をバグらせたり、専用のソフトウェアを利用してデータの削除をしてくれます。
料金は約1,000円~請け負ってくれる会社もあり、データが流出した際の被害と比べるととても安価に頼むことができます。
また、企業や行政が専門業者を利用する場合は、委託契約書や作業報告書などエビデンスが残るものを提出させた方がより良く、万が一HDDに記録されていたデータが流出したり、削除したはずのHDDが転売されていた場合、責任の所在を明らかにさせるためにも必要になってくるからです。
その他にも立ち合いが可能な業者を見つけることで、自分の目の前でデータが削除される様子を確認することができますが、立ち合いを認めていない業者は怪しんだ方がいいかもしれません。
また、ISO27001(ISMS認証)やPマークといった、社内外のセキュリティ対策が徹底されていることが証明されている認証を持っている業者を選ぶことも依頼者側が注目するべきポイントです。
詳細はこちら「HDDにデータを残したくない」
4.データ管理方法
重要データを保管・管理する際の心構えとして、HDDに重要データを保管しないという意識が必要です。そうはいっても一時的にダウンロードしたファイルを置いておいたり、毎日利用するファイルを取り出しやすい場所に保管しておいたり、デスクトップやCドライブの利用頻度は非常に高いかと思います。
それでも一人一人が意識をもって行動することで機密情報の流出や悪用はある程度防げると考えます。
外付けHDDを利用する
外付けHDDはUSBやSDカードという補助記憶装置をパソコンに繋ぎ、そこへデータの保管をする方法です。原始的ですがどのUSBにはどんなデータが入っている、等がわかりやすく、持ち運びも便利でどのパソコンからでもアクセスしたいデータが簡単に見つかります。ただ、容量が小さいので保管するデータによってはすぐいっぱいになってしまい、USBやSDカードを複数管理しなければいけなくなったり、どのメモリに何のデータが入っているかわかりづらくなってしまうという懸念点があります。
NAS等の共有ファイルサーバーを利用する
ネットワークに直接接続して使用するファイルサーバーであるNAS(ネットワークアタッチトストレージ)や、マイクロソフトが作っているサーバー用のOSであるWindowsServerを利用することで、複数人が共有のファイルにアクセスできるようになり、ファイル共有の利便性が高まります。こちらは同時接続可能数が決められていたり、データのアップロード・ダウンロードに時間がかかったりする懸念点があります。
クラウドで管理できるオンラインストレージを利用する
オンラインストレージを利用することで、PCの盗難や破損による物理的な被害を受けなくて済む方法も選択肢の一つです。AWS(Amazon Web Service)などの安全なセキュリティのクラウドサービスを利用することで、物理的破損や盗難から機密データを守れます。
<関連記事>
クラウドの安全性は大丈夫? 危険や個人情報流出対策を紹介
ファイルやフォルダにアクセス権限を付ける
初歩的な運用方法になりますが、ファイル共有サーバーにアクセスできる権限やフォルダ・ファイルごとの権限を付ける運用を行うことをお勧めします。同じ社内や組織内でも、役職によって見せられる資料や見せたくない資料があるかと思います。誰でもオープンにアクセスできるようにしてしまうと、社内の機密情報が漏れてしまう原因となり、また、情報漏洩が起きた際の原因究明が困難となってしまいます。
5.パソコンを処分する際の注意点
バックアップを取る
まずはパソコンの中にあるデータのバックアップを取ることをおすすめします。バックアップを取る方法はいくつかありますが、先に紹介した外付けHDDを利用するかクラウド上にデータが保存できるオンラインストレージの利用がおすすめです。
HDDのデータを削除する
バックアップが完了したら、HDD内のデータを削除しましょう。ゴミ箱を空にするだけでは完全にデータが削除できていません。重要な情報を取り扱う企業や行政こそ、物理的にHDDを破壊することが大切です。HDDのデータを削除する詳細な方法は本記事で解説しています。
6.まとめ
データ管理についての取り決めは各企業・行政ごとに細かく設定されているかと思います。「パソコンのデータが保存されている所はHDDである」との認識を持ち、重要なデータはHDDに残したまま手放さず、自分たちで壊して情報流出を防ぎ、信頼できる業者を探して任せることが大切です。何か起きた際の管理責任を問われないためにも、普段からセキュリティには気を使い、情報管理は徹底することが大切です。
あわせて読みたい!
違反事例に学ぶ! 企業が取り組むべきコンプライアンス対策
