情報の安全な廃棄について
サイバートラストの情報セキュリティコンサルティングサービスでは、アセスメントを通じ、各社が保存している情報について機密性などを確認のうえ、廃棄についてもコンサルティングを行っております。
廃棄を行う際には、正しく認可された方法で実施しないと廃棄業者からの漏洩などのリスクが発生いたします。廃棄についても正しく対策・実施する必要があります。
廃棄についてのガイドライン
日本国内の法令や規制、ガイドラインをはじめ、国際的な情報セキュリティ標準規格においても安全な廃棄を行うための管理策が要求されています。
- 総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」など
- 文部科学省「教育情報セキュリティポリシーに関するガイドライン」
- 改正個人情報保護法、特定個人情報保護法
- ISMS
- GDPR
- NIST SP800-88Rev.1
7.14 記録媒体
- 機密情報を含む記憶媒体を組織内で再利用する必要がある場合は、再利用前に安全にデータを削除するか、記憶媒体をフォーマットする
- 機密情報の入った記憶媒体は、不要になった時点で安全に廃棄する(例:破壊、シュレッダー、または安全にコンテンツを削除すること)。
- 監査証跡を維持するために、機密アイテムの廃棄を記録する。
7.14 機器の確実な廃棄・再利用
- 機密情報や著作権で保護された情報を含むストレージメディアは物理的に破壊するか、標準の削除機能を使用するのではなく、元の情報を復元できないようにする技術を使用して情報を破壊、削除、または上書きすること。
- ストレージメディアを搭載した機器が破損した場合、修理に出すべきか廃棄すべきかではなく、物理的に破壊すべきかどうかを判断するために、リスクアセスメントが必要になることがあります。
8.10 情報の削除
情報システムや機器、機密情報は、必要がなくなった時点で削除すること。- 関連する法律や規制を考慮した消去方法(電子的な上書きや暗号による消去など)を選択すること。
- 削除した結果を証拠として記録すること。
- 外部サービスを利用する際、承認された事業者から情報削除の証拠を入手すること。
- 必要がなくなった情報を安全に破棄するようにシステムを設定すること。
- 廃止されたバージョン、コピー、一時的なファイルを全て削除すること。
- 承認された安全な削除ソフトウェアを使用して情報を永久的に削除し、専門家による回復ツールやフォレンジックツールを使用して情報が回復できないようにすること。
- 廃棄されるストレージメディアの種類に適した廃棄メカニズムを使用すること。
適切な情報廃棄の必要性
情報漏洩インシデントを未然に防ぐ
コンプライアンス・ガバナンス
P マーク・ISMS の運用維持、
対外的信頼の獲得
マイナンバー利用の適正管理
このようなものはセキュリティに配慮した廃棄が必要です
個人情報や機密情報が記載された紙
名簿、プレゼン提案書、議事録、見積書・請求書、成績表・テストなど
記録媒体・通信機器
ハードディスク、SSD、CD-ROM やテープなどの外部メディア、IC カード、NFC タグ、ルーターなど
情報端末
ノートパソコン、スマートフォン、サーバー、コピー機、監視カメラ、ネットワーク接続可能なテレビ・レコーダー・プレーヤーなど
特に注意が必要なもの
企業・工場
顧客情報、マイナンバー情報、知的財産、設計図を含む技術系情報
学校
生徒や家族情報、成績、健康情報、写真・動画
自治体
住民記録、戸籍、税、後期高齢、介護、国保、国民年金、福祉関連、住民データを保管した記録媒体
このようなニーズもあります
機密保持のニーズ
研究用機器や試作機、半導体、高度なセンサー、IoT 機器など、他社や海外に漏洩した場合に自社のリスクとなりうるものを破砕したい
オンサイトのニーズ
データセンターでのハードウェア刷新の際に、古い機器をサーバーラックから外した直後に監査員の前で破棄したい
サイバートラストの情報廃棄
サイバートラストでは、リスクアセスメントなどの際に、それぞれの情報資産について、廃棄の必要性や適切な廃棄方法についてコンサルティングを行います。 また、コンサルティング内容に合致した形での情報廃棄をお引き受けすることも可能です。
- データ適正消去実行証明協議会 の消去プロセス認証に基づいて実施します(サイバートラストはデータ適正消去実行証明協議会の正会員・運営実行委員です)。
- 廃棄施設は PCI DSS 基準適合レベルの機密性施設で実施されます
- 廃棄したもの・情報に対して廃棄証明書を発行することも可能です
サイバートラストの情報廃棄は株式会社 DELE のサービスを採用しています。