ADEC消去プロセス認証取得企業として1周年
株式会社ゲットイット(本社:東京都中央区、代表取締役:廣田優輝)は、2020年8月27日、「データ適正消去実行証明評議会」(Association of Data Erase Certification:以下、ADEC)の消去プロセス認証取得企業として1周年を迎えました。
ADEC消去プロセス認証は、データ消去作業が行われる施設・エリア・現場に対して、ADECの定めるセキュリティ基準を満たしているか否か、存在するリスクに対して適切な対応がなされているか否かについて、具体的な基準を定め、ADECが書類審査・現場審査などによって確認・審査・判定を行う制度です。認証は1年間有効で、毎年の更新審査が義務付けられています。
審査を経て認証を受けた企業は、サーバーやパソコンなどに使用されているHDDやSSDなどの記憶媒体に対して、NIST SP800-88 Rev.1で規定されたデータ消去動作を検証・確認されているソフトウェアで消去作業を実施する際、ADECシステムとネット接続しその作業状況を通信することで、第三者機関であるADECの「データ適正消去実行証明書」を発行することが可能となります。
物理破壊処理を減らし、IT資産のリユースを促進
サーバーやパソコンなど、IT資産を処分する際には、それらの機器に含まれる各種データを適切に消去する必要があります。主なデータ消去手法として、ソフトウェア消去、物理破壊、磁気消去、の3つがありますが、通常、機器のリユースが可能なのはソフトウェア消去だけであり、物理破壊や磁気消去を行った場合、その機器は再使用することはできない産業廃棄物となってしまいます。
ADECの第三者証明の導入によって、企業や行政組織などは、IT資産の交換・廃棄時に、より安心してソフトウェアによるデータ消去を選択し、機器のリユースが可能な状態を維持できるようになります。ゲットイットでは、より多くのお客さまが、物理破壊処理を見直し、ソフトウェア消去に移行することで、IT資産のリユースを促進し、循環型経済の形成に貢献したいと考えています。
データ消去における「信頼」を、より確実なものに
データ消去作業は専門知識・時間・人手を要するため、サーバーやパソコンなどのIT資産を処分する際、多くの企業は廃棄業者もしくは買取業者にデータ消去作業を依頼しています。
こうしたケースにおいて、従来、データ消去が確実に履行されたことを証明するものとして、消去業者自らが「作業報告書」や「消去証明書」を発行することが、この業界におけるデファクトスタンダードでした。業者による自己証明では100%安全であるとは言えませんが、社会的には大きな問題へと発展することなく、「信頼」をベースとして業界は成り立ってきました。
しかし、2019年12月に報道された行政HDD転売・情報流出事件を受けて、PCやサーバーの廃棄や買取を依頼した業者が、適切なデータ消去を行っているとする性善説は通用しないことが広く知られるようになりました。
こうした背景の中、データ消去において第三者証明を行う機関としてADECは注目を集めています。人の手を介さないソフトウェアによるデータ消去の結果を第三者機関が証明することで、「信頼」をより確実なものとすることが可能となりました。
ゲットイットにおけるADEC「データ適正消去実行証明書」発行実績
当社がADECの消去プロセス認証取得事業者となって以降、2019年8月末からの1年間で、ADECの第三者証明を利用したデータ消去件数は、HDD・SSDの両記憶媒体を合計して約5000本となっています。
当社で請け負うデータ消去台数の全体の母数と比較した場合には、1%にも満たない微々たる割合ではありますが、「お客さまが希望された場合には、第三者機関のデータ消去証明書の発行が可能であるという体制」は非常に重要であると考えております。
ADECを利用されるお客さまの声
社内規定などによって、データ消去業務を外部委託することができない場合に、新たな選択肢として、第三者証明に興味をもっていただくケースが多いようです。
消去業者による作業報告書/自己証明書では不十分と判断していた場合であっても、データ消去ソフトウェアの第三者検証、電子署名システムなどを用いたADECの第三者証明の仕組みを社内共有することで、ソフトウェアによる消去の実施が可能となり、IT機器の廃棄からリユースへと移行できた企業もあります。
「第三者が関わることで信頼性が高まり、安心してデータ消去を任せることができた」などの声をお客さまより頂戴しており、国際規格に則った改ざん防止の仕組みなど、ADECの信頼性はお客さまにも好評です。
ADECの仕組み
当社では、ADEC「消去プロセス認証」(消去プロセス・作業環境のセキュリティ管理認証)を取得しています。消去プロセス認証は、実際に消去作業が行われる施設・エリアに対して、定められた基準に達している場合に有効となり、当社においては、東京都勝どきにある倉庫拠点「ZETTA」が認証を受けています。ADECによる電子証明書発行のフローについては、以下の図をご参照ください。
ADECでは、証明書の改ざん防止のため、国際標準の長期署名規格(PAdES)に準拠した電子署名およびタイムスタンプを使用しています。また、消去が実施される現場と、ADECシステムとの間の通信は暗号化されており、通信データの漏洩を防止。証明書情報や署名情報は全て登記サーバーに記録され、消去したデータを巡って係争があった場合に備え、長期間に渡りデータを保存できる仕組みを備えています。
データ消去に関する基礎知識の理解普及へ
2019年12月報道の行政HDD転売・情報流出事件以降、
・データをゴミ箱に入れて削除する
・HDDをフォーマットする
・OSを再インストールして機器を初期化する
などの手法では、データは表面上は消えたように見えたとしても、市販のデータ復旧ソフトなどを使用することで、簡単にデータが復元できてしまうことが改めて認知されるようになりました。廃棄・売却するIT機器に含まれるデータの消去手法について、企業・行政などの情報システム担当者は、より正確にそのプロセスを理解し、正しい判断をする必要があります。
当社では、データ消去についての最新の知識を啓蒙し、記憶媒体であるHDDやSSDなどの動作原理も含めて、データ消去についての理解を深められるよう、以下の資料も用意しております。データ復旧・データ消去のスペシャリストであり、ADEC(データ適正消去実行証明協議会)技術顧問・当社技術顧問の沼田理がわかりやすく解説しています。
また、ADECの紹介や、総務省による自治体セキュリティポリシーの見直しなども含めて、広く「データ消去」関連のテーマについてのWEBセミナーも予定しています。
「データ消去」WEBセミナー
日時 :2020年10月8日(木)14:00~15:30(予定)(質疑応答含む)
講演者:沼田 理
対象 :メディア関係者、行政関係者、一般企業(※1)
登録 :こちらの登録ページよりご登録ください(※2)
※1 データ消去サービス関連の同業他社様については視聴をお断りする場合があります。
※2 本WEBセミナーの詳細は、開催3週間前の9月16日(水)よりご案内予定です。上記ページよりご登録いただいた方は、「ウェビナー登録承認の保留中」と表示されますが、9月16日以降に改めて登録状況についてご案内いたしますのでご安心ください。なお、データ消去について特にご関心のあるテーマがありましたら、登録ページよりコメント欄にご記入ください。パネリストと共有させていただき、ウェビナーの内容調整に活用させていただきます。
その他の参考資料
・ADEC 消去技術認証基準委員会
「データ消去技術 ガイドブック 第2版」
・総務省
「自治体情報セキュリティ対策の見直しについて」の公表
ADEC
2018年2月、CSAJ(一般社団法人コンピュータソフトウェア協会)によって設立。ADECはデータの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的として活動をしてまいります。
組織名:データ適正消去実行証明協議会
所在地:東京都港区赤坂1-3-6 赤坂グレースビル 一般社団法人コンピュータソフトウェア協会内
会長 :荻原 紀男
設立 :2018年2月
[ ホームページ ]
本件に関する法人窓口
無料相談フォームよりご連絡ください。
当社におけるADECデータ適正消去証明書発行サービスの流れについては、ADECのページにて、図などを含めて解説しております。ADECによる第三者証明書の発行手数料については担当営業者よりご案内いたします。
本件に関するプレスお問い合わせ
担当者 :川澄(カワスミ)
電話番号:03-5166-0900