IT機器の廃棄／売却時のデータセキュリティ：「欧米の実例に学ぶ、電磁記憶媒体廃棄時の情報漏洩防止対策規定」ホワイトペーパーを無料公開【写真詳細】

個人情報保護やデータ漏洩に対して、規制強化・厳罰化が進む中、グローバルに先駆けて規制強化が進む欧米におけるデータ漏洩事例を取り上げ、今後予測される国内でのIT機器廃棄時の情報漏洩防止対策規定の展開についてホワイトペーパーを公開。無料ダウンロードが可能です。

株式会社ゲットイット（本社：東京都中央区、代表取締役：廣田優輝）は、データ復旧／データ消去の両分野におけるスペシャリストである沼田理氏によるホワイトペーパー「～60億円の罰金事例も～ 欧米の実例に学ぶ、電磁記憶媒体廃棄時の情報漏洩防止対策規定」を3月25日にウェブサイトにて公開しました。
https://www.get-it.ne.jp/category/blog_white-paper/

2019年12月に報道された神奈川県庁HDD転売情報流出事件を契機として、十分な監督を行わないまま、廃棄業者や買取り業者にデータ消去を一任するような「性善説」に基づくIT機器処分では、個人情報をはじめとするデータの管理者としての説明責任を果たすことはできないことが、広く知られるようになりました。

そのような状況の中、当社では、個人情報保護規制やデータ漏洩に対する罰則規定が、日本国内よりも数段厳しい（※）欧米におけるデータ漏洩事例を取り上げ、今後予測される国内でのIT機器廃棄時の情報漏洩防止対策規定の展開について、ホワイトペーパーを公開しました。

ゲットイットでは、年間約50,000件のHDDのデータ消去、約1,000件のSSDのデータ消去を行っており、安全で確実性の高いデータ消去サービスを提供しています。本ホワイトペーパーによって、データの管理者である企業や自治体などの組織が、世界標準のガイドラインや、整備されつつある国内の各種規定についての知識を深めることで、IT機器の処分に際し、委託元の組織と受託事業者が、適切な監督のもとに相互に連携し、説明責任を果たせるデータ消去の実現に貢献したいと考えています。


※　米国においては、神奈川県情報流出事件と類似する事件に対して、6000万ドルの罰金が科せられた事例などが存在します（委託業者におけるデータ消去業務に対する監督が適切でなかったことなどに対する、米国通貨監督庁によるモルガン・スタンレーへの罰金事例）。また、EUにおいては、GDPR（EU一般データ保護規則）により、違反の内容によっては、企業に対し最大で全世界売上高の4％もしくは2000万ユーロの制裁金が科せられることとなっています。

これに比して日本では、2021年現在、情報セキュリティ管理に対する罰則規定は存在せず、漏洩した情報が個人情報である場合にのみ、個人情報保護法で1年以下の懲役又は50万円以下の罰金が科せられますが、今後は、改正個人情報保護法の成立にともない、法人への罰金の上限が1億円に引き上げられるなど（全面施行は2022年6月）、欧米に追随する形で、規制強化と厳罰化が進むものと予測されます。


「～60億円の罰金事例も～ 欧米の実例に学ぶ、電磁記憶媒体廃棄時の情報漏洩防止対策規定」


[資料: https://files.value-press.com/czMjYXJ0aWNsZSM2NDg1MiMyNjY1NjgjNjQ4NTJfaE91V29KQndRUC5qcGc.jpg ]
執筆：沼田理
データ復旧・データ消去のスペシャリスト。ADEC（データ適正消去実行証明協議会：https://adec-cert.jp/ ）技術顧問。神奈川県情報流出事件以降は、新ガイドライン策定へ向けた行政からの技術諮問に応じるなど活動中。2020年2月より、株式会社ゲットイットの技術顧問に就任。（詳しくは：https://www.value-press.com/pressrelease/236787 ）

目次・主な内容
１．はじめに
　　・総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」
　　・NIST SP800-88（媒体のデータ抹消に関するガイドライン）
２．欧米での電磁媒体廃棄時に発生した情報漏洩事件に対する処罰
　　・実例：モルガン・スタンレーに約60億円の罰金
　　・ヨーロッパ（EU）の個人情報保護規則
３．今後の予想される電磁媒体廃棄時等の情報漏洩対策規定の国内での展開
　　・防衛装備庁の例
　　・ISMAPの例
４．まとめ
　　・重要となる4つのポイント

ダウンロードURL
以下のURLにて、ホワイトペーパーの無料ダウンロードが可能です。
https://www.get-it.ne.jp/%e3%80%90%e7%84%a1%e6%96%99%e3%83%80%e3%82%a6%e3%83%b3%e3%83%ad%e3%83%bc%e3%83%89%e3%80%91%e6%ac%a7%e7%b1%b3%e3%81%ae%e5%ae%9f%e4%be%8b%e3%81%ab%e5%ad%a6%e3%81%b6%e3%80%81%e9%9b%bb%e7%a3%81%e8%a8%98/

※原則として無期限での公開を予定していますが、技術動向に大きな変化等があった場合には、一時取下げ／修正などの可能性があります。


沼田氏を交えての「オンライン個別説明会」

ホワイトペーパー執筆者の沼田氏を交えてのオンライン個別説明会（40分）を実施しています。データ消去を中心として、関連テーマについてもご対応いたしますので、お気軽にお問い合わせください。

対象
・メディア・プレス関係者
・自治体・行政関係者

主なテーマ
・データ消去
・総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」について
・ADEC（データ適正消去実行証明協議会）による消去証明の仕組み、など

※平日10:00~17:00の間で実施しています。40分程度を予定。（説明会20分、質疑応答20分）
※オンラインでの開催となります。ご希望の日時を以下よりお問い合わせください。

お申し込み窓口
担当者　　： 川澄 （カワスミ）
メール　　： pr@get-it.ne.jp
電話番号　： 03-5166-0900


参考情報：データの管理者による、責任あるデータ消去手法の合理的な選択

NIST SP800-88（※１）など、データ消去に関連した世界標準のガイドラインによれば、IT機器の処分に際し、組織は主に以下の3つの要素のバランスを考え、データ消去手法を選択すべきであるとしています。

　①セキュリティ
　②コスト（時間・手間など人的コストを含む）
　③環境負荷

一般的に、セキュリティに関して、どれだけコストをかけたとしても、リスクをゼロにすることはできないとされています。このことは、「個人情報保護法」（※２）など、セキュリティに関連した各種の法律や規定でも前提として考慮されており、説明責任を果たすためには、組織は、その固有の状況に応じて、適切なガイドラインなどを参考として安全管理措置を整備・運用することが求められています。

なお、参照すべきガイドラインについて、世界的には上述のNIST SP800-88が広く用いられていますが、日本国内のガイドラインとしては、2020年12月28日に改訂版が公開された「地方公共団体における情報セキュリティポリシーに関するガイドライン」（※３）があります。自治体向けガイドラインではあるものの、今後は企業においても、本ガイドラインを参照するケースが増えると予測されます。

③の環境負荷については、近年、SDGsの潮流の中で重要度を増しており、組織はセキュリティとコストのバランスをとりつつ、「循環型社会形成推進基本法」（※４）に則り、環境負荷についても十分に検討をしていく必要があります。


※１　NIST SP800-88 Rev.1 Guidelines for Media Sanitization
NIST（米国国立標準技術研究所）による、データ消去関連のガイドライン。本来は、米国の連邦政府向けのガイドラインだが、一般企業も含めて、米国以外でも広く世界標準として参照されている。
参照：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf  
（改定版であるRev.1の和訳は現状存在しないが、初版はIPA（情報処理推進機構）より公開されている：https://www.ipa.go.jp/security/publications/nist/index.html ）


※２　個人情報保護法 （正式名称：個人情報の保護に関する法律）
第二十条（安全管理措置）において、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と定めている。なお「適切な措置」の具体的な内容については、個人情報保護委員会による「個人情報の保護に関する法律についてのガイドライン（通則編）」の中の「8（別添）講ずべき安全管理措置の内容」において、例等が示されている。
参照：https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
　　　https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/

また、個人情報保護委員会による「データの消去に関する注意喚起」の中では、「２　顧客等から個人情報を取得した事業者は、個人データを利用する必要がなくなり消去する際には、当該個人データを復元不可能な手段で消去する必要があり、消去業務を外部に委託する場合、委託先に対する必要かつ適切な監督を行う必要があります。」としている。
参照：https://www.ppc.go.jp/news/careful_information/data_syokyo/

なお、改正個人情報保護法（正式名称：個人情報の保護に関する法律等の一部を改正する法律）の可決に伴い、法人に対する罰金刑の最高額が1億円に引き上げられるなど、罰則の強化がなされている（全面施行は2022年6月）。
参照：https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/


※３　地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月版）
機密性に応じた、データ消去の具体的な手法や管理方法などを示している。
参照：https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000107.html
なお、機密性2以上の情報を含む機器に対して、従来のソフトウェア消去よりも上位の消去手法が求められているが、その具体例として示された各種データ消去手法は上述「SP800-88 Rev.1」にで定義されるPurge（パージ消去）と同レベルのものであり、NIST SP800-88を意識した内容であることが覗える。


※４　循環型社会形成推進基本法
第七条において、「循環資源の循環的な利用及び処分に当たっては、技術的及び経済的に可能な範囲で、かつ、次に定めるところによることが環境への負荷の低減にとって必要であることが最大限に考慮されることによって、これらが行われなければならない。」と定め、「一　循環資源の全部又は一部のうち、再使用をすることができるものについては、再使用がされなければならない。」としている。
参照：https://www.env.go.jp/recycle/circul/kihonho/law.html

情報機器の処分に際して、リスクを可能な限り低減する目的で、破砕や磁気消去など物理的な破壊が選択される場合があるが、上述の通り「技術的及び経済的に可能な範囲」において、リスクを現実的に検証し、リユースによる二次流通を可能とするソフトウェア消去等の選択肢についても十分に検討することが、循環型社会の形成を推進する上で重要といえる。


[資料: https://files.value-press.com/czMjYXJ0aWNsZSM2NDg1MiMyNjY1NjgjNjQ4NTJfd2FPVUJob1BzcC5wbmc.png ]
株式会社ゲットイット

都内2,000㎡倉庫（勝どきZETTA）の豊富な在庫量と、マルチベンダー対応の技術力で、企業の抱えるＩＴの「困った」を解決。サーバー・ネットワーク機器等ＩＴハードウェアの専門家として、レガシーシステム運用に必要なEOSL保守（第三者保守）から、検証環境構築のための機器レンタル、情報機器処分（ITAD）に伴うデータ消去や買取りサービス、コスト削減のリユース販売まで、１社１社のオーダーに応える形で様々なハードウェア関連サービスを提供。株式会社ゲットイットは、持続可能な社会発展へ向けた「SDGs」への関心の高まりを受け、「使えるものは、長く使う」「使い終わったものは、次につなげる」の２点を掲げ、保守による機器の長寿命化や機器のリユース・リサイクルにより、ＩＴ ハードウェアの持続可能な運用のための総合サービス「Sustainable Computing ®」※ を展開しています。


[動画: https://www.youtube.com/watch?v=LoXMBU4FDe4 ]


社名　　：株式会社ゲットイット
URL　　：https://www.get-it.ne.jp
所在地　：東京都中央区築地3-7-10 JS築地ビル4F
代表者　：廣田 優輝
設立　　：2001年4月
事業内容：ITハードウェアサービス：第三者保守、EOSL保守、販売、買取り、修理、レンタル、移設、構築、データ消去　等

※Sustainable Computing ®（サスティナブルコンピューティング）とは、「使えるものは、長く使おう」「使い終わったものは、次につなげよう」をコンセプトにゲットイットが考案した「ITハードウェアの持続可能な運用のための総合サービス」の名称です。

本件に関するプレスお問い合わせ
担当者　　： 川澄 （カワスミ）
メール　　： pr@get-it.ne.jp
電話番号　： 03-5166-0900

プレスリリース情報提供元：ValuePress!