2社の事例から学ぶ、組織の情報を守るためのIT機器処分の最善策とは？

ちょっとした手間をかけることでIT機器の処分フェーズにおける情報漏えいリスクは抑えられる。具体的にはどういった対応をとれば良いのだろうか。2社の事例を交えて説明する。

[杉 研也，パシフィックネット]

　当連載第1回、第2回では、神奈川県庁でのHDD不正転売による情報漏えい事件を振り返りながらIT機器処分の課題点や対応ポイントを解説しました。IT機器処分にまつわる事故は過去も現在も発生していますが、一方で、IT機器処分時において適切な対応を行っている企業や自治体もあります。

　第3回となる本稿では、パシフィックネットの顧客のベストプラクティスや成功事例を紹介しながら、IT機器の適正処分を考えていきたいと思います。

著者紹介：杉 研也

IT機器の調達から運用管理、データ消去、適正処理までをLCMサービスとして提供するパシフィックネットの取締役を務める。約20年にわたり、企業や官公庁におけるIT機器の排出からデータ消去、リファービッシュまで、数多くのリユースおよびリサイクルの現場に携わる。環境省が開催する「使用済製品等のリユース促進事業研究会」で委員を務め、また総務省がオブザーバーとして参加する「リユースモバイル関連ガイドライン検討会」で主査に任命されるなど、社外活動にも積極的に参加、リユース業界の透明性の高い健全な発展に尽力する。また渡航経験も豊富で、海外のIT機器リユース事情にも精通する。

（1）金融機関におけるベストプラクティス

　パシフィックネットでは、オンサイト（現地）でのデータ消去作業の依頼を受けることもあります。その際は、データ消去の形式（上書き消去、磁気消去、物理破壊）については顧客に指定いただいていますが、作業手順やプロセスに関しては当社に任せていただくことがほとんどです。

　しかし、ある金融機関からはデータ消去の作業手順について細かく指示があり、50にも上る項目をチェックシート形式で提示されました。「資産管理表と機器本体のシリアルナンバーとの突合」や「内蔵されているHDDの本数確認」「破壊の手順」といったデータ消去に必要な作業内容だけでなく、「機器の電源を入れる」「データ作業の完了後に掃除をする」といった作業まで細かく指定されていました。

　また「作業は必ず2人体制で行うこと」「1人は消去作業を、もう1人はチェック係を担当すること」といったように、漏れやミスが起きないような体制を組むよう指示がありました。作業完了後には、監督者である顧客にチェックリストを提出し、その場で作業が完了したことを確認する念の入れようです。

　もちろん委託先である当社でも、こうした手順書の作成やチェック体制は構築していますが、業者任せにせず顧客自身でデータの漏えい防止を行っている良い取り組みだと感じました。またIT機器の導入時には細やかな要件定義書を作成すると思いますが、処分時も同様に要件定義をしっかり行っていることも高く評価できます。

処分のポイント

1．処分の作業手順を明確にするなど要件定義を行い、作業ミスと作業漏れを防止する

2．作業はダブルチェックを行い、委託元がその内容を確認する。

（2）メーカーのベストプラクティス

　次は、運送時におけるIT機器の紛失の抑制と委託先の業務執行状況の確認を効率的に行っている、ある自動車メーカーの事例を紹介します。