IT機器の処分とデータ抹消のポイントを総整理

前回までは神奈川県庁のHDD不正転売事件を例に、IT機器処分における課題や盲点について説明したが、最終回となる本稿では、法令などを交えながらIT機器処分業者を取り巻く環境変化について説明する。

[杉 研也，パシフィックネット]

　第3回では、IT機器の処分時のベストプラクティスと米国立標準技術研究所（NIST）が発行したガイドライン「SP800-88Rev.1」における処分のフローを紹介しました。本連載最終回となる今回は、買取業者の業界動向を解説したいと思います。IT機器の処分業務を業者に委託するケースも考えられますので、参考にしてください。

著者紹介：杉 研也

IT機器の調達から運用管理、データ消去、適正処理までをLCMサービスとして提供するパシフィックネットの取締役を務める。約20年にわたり、企業や官公庁におけるIT機器の排出からデータ消去、リファービッシュまで、数多くのリユースおよびリサイクルの現場に携わる。環境省が開催する「使用済製品等のリユース促進事業研究会」で委員を務め、また総務省がオブザーバーとして参加する「リユースモバイル関連ガイドライン検討会」で主査に任命されるなど、社外活動にも積極的に参加、リユース業界の透明性の高い健全な発展に尽力する。また渡航経験も豊富で、海外のIT機器リユース事情にも精通する。

買取業者のビジネスモデル

　IT機器の処分業者は、大きく分けて廃棄業者と買取業者の２つになります。「廃棄業者」は「廃棄物の処理及び清掃に関する法律」（廃掃法）に基づいて廃棄を行う事業者のことを指し、排出事業者（排出元）が廃棄料金を支払って廃棄を委託します。

　神奈川県の転売事件で問題になった事業者や当社は「買取業者」にあたり、IT機器を有価物として買い取ります。買取業者は、買い受けたIT機器を売却して収益を得ます。データ消去などは買い取りの過程で行う業務として委託を受けるケースもあれば、別途費用をもらい受けるケースもあります。ある程度の売却益を見込めるのであれば、データ消去のコストは吸収できますが、最近は以前ほど売却益が見込めない状況にあります。

IT機器の売却先

　これまでに排出した「使用済みIT機器」の行き先を考えたことはありますか？　排出された機器の流通経路は、大きく分けると「国内流通」と「海外流通」の2つになります。国内流通は、さらに「リユース」「リサイクル」「廃棄」の3つに分けられます。

　海外流通は「リユース」だけになります。詳しくは後述しますが、廃棄物の輸出は国際条約で禁止されているため、国内で排出された機器を海外に輸出して廃棄するのは不適切な処分に当たります。リサイクル品としてマテリアルを輸出する場合も廃棄品との区別が不透明なことから輸出に関しては“グレー”で、認められていない国がほとんどです。これらを前提に、現在国際的に問題になっている「E-waste」（Electronic waste）と呼ばれる海外での廃棄問題に関して説明したいと思います。

「E-waste」問題

　E-wasteという言葉をご存じでしょうか？　E-wasteとは、Electronic wasteの略称で、電子機器または電気機器の廃棄物という意味です。電子機器の廃棄物には、鉛やカドミウム、水銀などの有害物質を含み、発展途上国に輸出された電子機器廃棄物が土壌汚染や健康被害を引き起こして問題になっています。

バーゼル法とバーゼル条約

　「特定有害廃棄物等の輸出入等の規制に関する法律」、いわゆる「バーゼル条約」という有害廃棄物の輸出入を禁じる国際条約があり、日本もこの条約に調印しています。つまり日本において、有害物質を含む電子機器の輸出には規制がかかります。

　近年はE-waste問題を受けてバーゼル法が厳格化され、（1）年式・外観、（2）正常作動性、（3）梱包・積載状態、（4）中古取引の事実関係、（5）中古市場の5項目を満たしたリユース品でなければ輸出ができません。バーゼル法の厳格化を受けて、輸出業者は「梱包・積載状態」などに気を配るようになり、梱包など輸出に係るコストが膨らみました。その結果、リユース品の取引相場は暴落し、物品を選別するようになったため、陳腐化したIT機器の出口がかなり狭くなりました。

“廃プラ”問題

　2017年末に中国が廃プラスチックの輸入を禁止したことから、東南アジア諸国も次々と廃プラスチックの輸出規制を導入しました。これによって、廃プラスチックの輸出大国であった日本は、国内での処理が増加しました。つまり、これまで有価物として売却が可能だったプリンタなどの処分コストがかかるようになったということです。

苦境に立たされる買取業者

　このような問題を受け、輸出による廃棄物の売却は厳しいものになっています。また国内のリユース市場に関しては、陳腐化して価値がなくなった商品が好まれないことや流通量にも限界があることから、買取業者は以前のように収益を出すことが厳しい状況になっています。それにより、今までは買い受けた機器の売却益でデータ消去などの作業コストやセキュリティの運用コストなどを吸収していた買取業者は、その費用を賄うことが厳しくなっているという現実があります。

　神奈川県庁の機密情報流出事件を起こした買取業者も、輸出での売り上げ比率が高かったため、こうした業界環境の変化を受け、ずさんな管理体制になっていったのではないかと想像されます。

（1）従来の利益構造：売却金額が高額だったので、データ消去のコストやセキュリティ設備や運用のコストを吸収できていた　（2）現在の収益構造：売却金額が下がったので、データ消去のコストやセキュリティ設備や運用のコストを吸収できなくなっている。

買取業者の選定方法

　排出元の企業もこうした処分業界の状況を把握して、処分コストや買取価格が適正なものかを見極めながら買取業者に委託しなければ危険です。「買取価格が高い」「データ消去のコストがかからない」といった理由の裏には、セキュリティ対策がないがしろにされている可能性を排出元企業は考慮すべきだと感じます。

　また、過去の実績やISO認証などの取得状況などを含めて業者を選定する企業が多いかと思いますが、神奈川県庁の事件を受けて、データ消去の現場視察や作業フローの説明を受けるなどして、適切に処理されているかどうかをユーザー企業自身で確認することが必要だとあらためて思いました。コストだけで業者を選定するのは非常に危険です。

処分のポイント

1．買取価格やデータ消去費用だけではなく、市場相場や消去にかかるコストが適切かどうかも考慮して業者を選定する。

2．消去作業の現場視察や業務フローも確認し、委託先業者でセキュアな処理がなされていることを自身で確認する。

これからのIT機器処分はどうすればいいのか？

　IT機器の処分は、コストとセキュリティの最適化がキモだと感じます。企業が排出するIT機器の多くは機密情報を含んでいます。処分には気を配りたいところですが、そこに過剰なコストをかけてまで対応しようとは思わないでしょう。しかし、万が一排出した機器から機密情報が漏えいした場合の損失は多大なものになります。そのバランスをいかに取るかが重要です。

　また神奈川県庁の事件をきっかけに、HDDの物理破壊など処理の手段に注目が集まっています。しかし、IT機器の処分に関しては手段だけでなくプロセスにおいてもリスクアセスメントを行い、適切な処理を実施する必要があります。

リスクレベルごとのデータ抹消の運用例

　データ抹消の運用ポイントをリスクレベルごとに考えると、「リスクレベルが高い情報＝漏えいすると重大な危機に陥る」レベルの機微な情報を扱うサーバや媒体に関しては、NIST SP800-88Rev1で定義されているパージレベルでの消去（上書き消去、磁気消去）と物理破壊の組み合わせが推奨されます。物理破壊に関しては機器に穴を空けるので再利用はできない状態になります。

　しかし、穴が空いた部分以外のプラッター（HDDの構成部品）にはデータが残存している可能性があり、完全にデータが抹消されたとはいえません。復元はかなり困難ではありますが、機器の外装に穴があけられても内部のプラッターが破壊されていなければ、情報の漏えいリスクは残ります。そのため、物理破壊する前にパージレベルのサニタイズを行い、その後、物理破壊することを推奨します。金融機関の多くは、この方式を採用しています。監査方法に関しては立ち合いをおすすめしますが、証明書の発行を受けるなら、作業後の抜き取り監査でも十分だと思います。

　リスクレベルが「中」程度の情報を抹消するポイントは、パージレベルの消去もしくは物理破壊です。信頼できる委託先であれば、委託先でのデータ抹消でも問題ないかと思いますが、注意すべきは委託先への運搬手段がセキュアであるかどうかです。また作業した事実を

証明するためにも証明書の発行は必須だといえます。

　リスクレベルの低いクライアントPCなどに関しては、クリアレベルの上書き消去でも問題ないと考えます。また監査方法に関して、作業自体を監査する必要はありませんが、委託業者が信頼できる作業手順を踏んでいることやセキュリティ体制などは事前に確認する必要があります。

データ抹消手段別の処分ポイント

　メジャーなデータ抹消方法の特徴をまとめると、上書き消去に関しては再利用が可能なため、売却益を期待できるのが一番大きなメリットです。ただし、消去に要する時間が長かったり電圧の関係で大量の作業が困難だったりといった問題があります。売却益が期待できる高年式（発売後5年以内）の機器に関しては、上書き消去がおすすめです。

　物理破壊と磁気消去に関しては再利用できないので、売却益は期待できません。また作業時間や工数といった作業にかかるコストは上書き消去よりも少ないので、発売後6年以上の低年式のIT機器に関しては物理破壊と磁気消去を推奨します。ただし、モバイルノートPCなどHDDの抜き取りが困難なものもあるので、その場合は上書き消去と比較して作業時間や工数がかからない方法を選択する必要があります。

　磁気消去は最も手軽に行えますが、SSDなどの半導体の記憶媒体に対応していないことと磁気消去機器が高額であることが問題になります。

処分のポイント

1．データのリスクレベルに応じて、消去手段や消去場所証明書の発行の必要性や監査方法を検討

2．データ抹消手段別に、売却益と作業コストを勘案して作業手段を決定。

3．1と2のポイントを総合的に検討して、データ抹消の方法を決定する

　この連載が、セキュアかつ妥当なコストによるIT機器処分のヒントになれば幸いです。IT機器処分業者の多くは大切な顧客のデータが漏えいしないように対応しているかと思いますが、悪意を持った従業員やずさんな管理体制を持った業者により、業界は世間の厳しい目にさらされています。神奈川県庁で発生したような事件を再発させないために、業界の健全化を目指して、当社も活動していきたいと思います。4回にわたり当連載をお読みいただいた皆さまに感謝いたします。