令和2年12月28日、総務省により「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定版(以下、新ガイドライン)が公開されました。この新ガイドラインに則ったデータ消去の運用を可能にする、データ消去証跡管理システムETTMS(エトムス)の実証実験の第二弾を、豊前市で実施しました。ご協力いただいた、総務部財務課デジタル化推進係の瀬戸さま、藤田さま、奥田さまにお話を伺いました。
●ETTMS実証実験の内容:
①パソコン100台分のHDDの磁気破壊と物理破壊※を庁舎内で実施
②消去開始から完了までETTMSにて進捗状況を確認。完了後に追跡情報証明書を確認
③PCについては弊社による引き揚げ後に売却
※NSA(米国家安全保障局)より評価認定を受けた磁気破壊機と物理破壊機を使用
●ETTMS実施日程:
11月9日 [作業時間] 09:00から13:30
・HDD取り外し作業
11月9日 [作業時間] 09:13:00から17:30
・ETTMSへの機器情報登録
・対象ハードディスク消去作業とETTMSによる追跡情報登録
11月10日 [作業時間] 09:00から14:30
・対象ハードディスク消去作業とETTMSによる追跡情報登録
・最終確認
・退館
ーー豊前市では、データ消去に関してどのような課題を感じていらっしゃいましたか?
瀬戸さま:
一番の課題は、データ消去の証明書と現物のリンクが取れないことです。証明書を提示することでデータ消去の証明をしようとしても、突き詰めていけば紐付けがどこまでできるのか、という課題があります。
ーーETTMSに興味を持ったきっかけは何ですか?
瀬戸さま:
もともと豊前市では、廃棄業者へハードディスクの物理破壊と写真の提示を依頼していました。データ消去の案件は数年に一度発生するのですが、別の年に依頼すると今度は物理破壊を受けられないといわれることもあり、その際には職員で物理破壊を行っていました。このようにデータ消去のプロセスに毎回差が出ていたので、一つのモデルケースを確立したいという思いがありました。
ーー実際にETTMSを利用してみて、いかがでしたか?
藤田さま:
データ消去の作業状況の一覧をETTMSのサイトで見ることができるのが魅力的でした。新ガイドラインでは、庁舎内でデータ消去をすることが推奨されていて、もちろんそれができれば理想ですが、対応できる人数が少なかったり、スペースが限られていたり、どうしても業者に委託せざるをえないケースがあり得えます。そういったところで、今どういう作業がされているか、ETTMSのサイトを見ればすぐに状況がわかるところが良かったです。
瀬戸さま:
今回は庁舎内ですべての作業を行うことができたので、進捗も適宜確認できました。庁舎内で完結するのであれば、スタートとエンドをおさえればいい訳ですが、いずれは業者に委託して庁舎外でデータ消去を行う場合もあり得ます。ETTMSを使えばそこの担保が取れるというところは非常に有効だろうなと思っています。
また、証明書の個票に写真がとられており、ハードディスク本体へQRコードも貼ってありますし、非常に信頼度は高いのではなかろうかと思っています。個票に写真をつけることまで期待していなかったので、と言ったら申し訳ないですけど、1シリアルライセンスにつき1物理破壊の写真をリンクさせるというのは、求めている最終系というか、一番説明しやすいものになるので、非常に満足しています。
ーー嬉しいお言葉、ありがとうございます。奥田さまはいかがでしょうか。
奥田さま:
ETTMSの導入、試されている自治体はまだ数が少ないとお聞きしたのですが、ご経験の少ない中でスムーズに、騒音もなく、私たちの仕事内容に支障をきたさずに、安全安心にデータ消去物理破壊というのを進めていただき、大変満足しています。
▲ETTMSイメージ画像
ーー実証実験を通じて、ETTMSを今後も利用していきたいと感じましか?(1~5のスケールで)
瀬戸さま:
費用面を置いて答えるのであれば、私は最大(5)かなと思いました。まる2日間で終わったという点と、目の前でスタートからエンドまで全て見つつ、ETTMSのサイトでも管理している、という点で同期がとれたので、わかりやすいなというところが理由です。
藤田さま:
ETTMSは今後さらに良くなっていくだろうなと思っています。既にお伝えしたシステムへの要望※1という点で、自分の中では4にしておきます。
奥田さま:
同様に、システム改善要望という点で(4)にします。
ーーデータ消去に関して感じていた課題は、ETTMSを使うことで解消できましたか?
瀬戸さま:
できたと思います。ただ、物理破壊だったから証明できているという点もあると思うので、クリア、パージ消去※2にしたときにどの程度か、という点は改めてご相談したいです。豊前市でリースをしているサーバー類については、今後の契約ではリース終了後に豊前市に所有権が移る形にそろえていく方針なのですが、現行のリース品の返却の際にはソフトウェア消去しかできないと思っています。その場合、ETTMSでの管理はどうなるのでしょうか?
ゲットイット中村:
ETTMSを使うことになれば、今回同様に豊前市にお伺いして、クリアまたはパージ消去を行います。ただしソフトウェア消去の場合はパージを読み込めずにクリアで終わってしまったり、クリアすら読み込めないことがあったりするので、本来であれば、リース会社さまとの交渉の中で、ソフトウェア消去ができないものに関しては磁気破壊、または物理破壊するというような契約を結んでおくのがよいのかなと思います。
瀬戸さま:
リース会社に返却する場合でもETTMSが利用できるのでしょうか?
ゲットイット中村:
はい、事前にリース会社さまに承諾いただく必要はあるのですが、実は福岡市での実証実験では、リース物件に対してデータ消去とETTMSでの管理を行いました。将来的には、もしリース会社さまがETTMSの会員だとするならば、リース会社に入荷したところまでを追跡して完了ということもできるだろうと構想しています。
藤田さま:
そうですね、ETTMSを共通的にいろんな業者さんで利用できれば、こちらも追いやすくなるなと感じました。
ーー本日はお忙しい中ありがとうございました。
・証明書をHDDごとではなく一括でダウンロードできるようにしてほしい→改善が確定。
・豊前市の機器管理番号を備考欄に入れてもらったが、詳細画面に行かなくても一覧の画面でも表示できるようにしてほしい→改善検討中。
※2 クリア・パージ:NIST(米国国立標準技術研究所)によって定められた、データ消去手法の格付け。
詳しくはこちらのホワイトペーパーをご確認ください。
担当営業
株式会社ゲットイット
ITADマネージャー
中村 浩英(なかむら ひろひで)
ITAD=IT Asset Disposition の略であり、法令遵守・セキュリティ・経済性(ROI)・環境負荷の各要素を考慮したIT資産の適正処分を推進。過去35万台以上のIT機器の買取りを行ってきた当社において、大企業/自治体のIT機器買取り案件を数多く手掛け、買取り現場のスペシャリストとして活躍。新規の買取り案件の創出に特化した営業活動にも注力し、年間約50社の企業が、その支援のもと、廃棄スキームから買取りスキームへの移行を果たしている。船橋市など自治体の案件も数多い。
これから廃棄から買取りへの移行をお考えのご担当者さまへ、ダウンロード資料をご用意しました。
インタビュアー
株式会社ゲットイット
マーケティング担当
武