キーワード:情報セキュリティ、情報漏えい、リスクマネジメント
こんにちは。てすお (ペンネーム) です。
IT知識のない私がふと疑問に思ったことを調査するコラムです。
パソコンの処分をしたくて業者を探してみるも、業者間の違いがよく分からなかったという経験をされた方もいらっしゃるのではないでしょうか?
今回のお題「みんな同じに見える? パソコン処分業者のセキュリティレベル」
を2回に分けてお送りします。
情報を制するものは世界を制すだとかビジネスを制すだとか言われます
制する、というからには情報を入手するだけではなく、自分の保有する情報を他者に知られないこと(情報の流出を防ぐこと)も含めての格言かと思いますが、近年は情報流出を防ぐことの重要性が加速度的に増しています。
今年欧州で施行されたGDPR(General Data Protection Regulation; 一般データ保護規則)に代表されるように、年々情報を守るための規則が厳格化し罰金額も大きくなっています。欧米に比べれば日本のセキュリティ意識はまだ緩いですが、今後欧米に追随するようにして、求められるセキュリティレベルがより高まっていくことは明白な事実です。
情報流出を防ぐ方策といえばサイバーセキュリティばかりに目がいきがちですが、使い終えたパソコンやタブレットなどの情報端末を処分するとき(データが自社の手から離れるとき)にも充分な配慮が欠かせません。
参考:EU 一般データ保護規則(GDPR)について
独立行政法人日本貿易振興機構
www.jetro.go.jp/world/europe/eu/gdpr/
産業廃棄物処分業者に頼めば安心、とも言い切れない現実
産業廃棄物処分業者の過失によって依頼企業の情報資産が流出する事例が複数あり、原因も様々です。業者の施設内で盗難があったり、データ消去をしないまま転売されたり、廃棄処分契約を業者が無視して転売したり…。
どんなに業者に過失があっても、被害を受けるのは依頼した企業です。その業者に全ての責任と対応を押し付けることなど出来るはずもなく、損害賠償を請求され、事後対応に追われ、社員の心労負荷が増し、企業のブランドを地に落とす結果になりえます。
私はセキュリティへの投資は広告への投資に似ているように思います。広告投資は自分たちに良いことが起きる可能性を高め、セキュリティ投資は自分たちに悪いことが起きる可能性を低くします。依頼企業の担当者はリスクを最小限に抑えるための投資とみなして、信頼できる業者を見極め、仮に多少高い依頼料になったとしても処分依頼へ踏み切り、上司を説得することが会社への真の貢献に繋がるのではないでしょうか?
参考:廃棄物等からの情報漏漏洩事故や情報漏洩対策
経済産業省
www.meti.go.jp/policy/recycle/main/data/research/h17fy/171205-3_mri_1.pdf
セキュリティのしっかりしている業者に処分を頼みたい。
でも、業者の違いがよくワカラナイ
パソコンの処分業者は数多く存在し情報セキュリティの大切さを謳う業者も沢山あります。
「データ消去」、「物理破壊」、「NIST」、「DoD」、「3回上書き」
これらのワードに見覚えがある方もいらっしゃるのではないでしょうか?
多くの業者が同じような言葉でサービスを紹介しているので、各社のウェブサイトを比較しても、ぜんぶ同じに思えてくるかもしれません。
正直申せば、私も最初そうでした(苦笑)
しかし、詳しく調べてみるとセキュリティを謳う業者も十人十色で、それぞれに特色や得意とする方向性が違うことが分かります。今回は、安心して機器の処分を任せられる業者を見分けるポイントをご紹介したいと思います。
じつは色々ある?
業者のセキュリティを確かめる視点あれこれ
業者のセキュリティを確かめるには様々な視点からチェックすることが大切です。
全部で8項目を紹介する予定ですが、本稿では4項目をご紹介します。
残り4項目は次回記事にてご紹介します。
(1) 運搬の方法
業者に処分機器の運搬を頼む場合はどのように運搬するか事前に確認しましょう。たとえば、軽トラックの荷台に積み上げて運ぶような方法だった場合は盗難や紛失のリスクが気になります。
(2) デジタルデータの破壊
多くの業者がウェブサイト上でアピールするポイントだと思います。ソフトウェアによる論理破壊や、機器を物理的に破壊する穿孔破壊・シュレッダー破壊などがあります。
デジタルデータは適切な方法で破壊しなければ復旧される危険があります。業者が実施するデータ破壊の方法や使用するツールに信頼性があるか確認が必要です。
参考:ネット通販の中古ドライブ、50台中15台にデータ – 8台に企業情報らしきファイル
Security NEXT
www.security-next.com/090304
(3) アナログデータの除去
データはデジタルだけではありません。意外と見落としがちですが、企業の資産管理シールなども立派なデータです。所有企業が特定できるようなシール・タグが情報端末に付着していないことをチェックし、付着していた際には除去してくれるのかを業者に確認しましょう。万が一資産管理シールが貼られたまま不法投棄をされたら企業のブランドイメージに関わる問題になりかねません。
(4) 業者施設の設備・環境
業者の設備内で盗難があり、依頼企業の情報が流出……これは実際に起きた事例です。業者の施設はセキュアであるか確認する必要があります。また、時間に余裕があれば業者の施設を視察して5Sが実践されているかの確認も大切です。ごちゃごちゃした作業環境はお客様の資産の紛失や破損のリスクが高まります。
最後にテスアムジャパンの取り組みをご紹介させてください
テスアムジャパンは世界20カ国以上に拠点を持つTESグループの一員です。世界各地に拠点を持つメリットは、世界中で同一クオリティのサービスを一元管理してご提供できることだけではなく、世界中のさまざまな環境で日々蓄積されるノウハウを集約して、世界最高水準のサービスを作り上げられることが挙げられます。結果として、セキュリティに細心の注意が必要な業界(外資系金融機関など)のお客様にも高い評価を頂いています。
また、ガートナーや経済産業省といった第三者機関の業界分析レポートでもTESグループはベンチマーク対象として取り上げられています。
参考:Market Guide for IT Asset Disposition
ガートナー
www.gartner.com/doc/3883826/market-guide-it-asset-disposition
参考:平成28年度地球温暖化問題等対策調査(国際資源循環の現状等に関する調査)
経済産業省
www.meti.go.jp/meti_lib/report/H28FY/000627.pdf
※ガートナー
ガートナーは、IT分野の調査・助言を行う企業。ガートナーの顧客には数々の大手企業や政府機関が名を連ねており、IT系企業や投資組合なども多い (Wikipediaより一部抜粋)
(1)運搬の方法
お客様のご要望にあわせてGPS付きのトラックやセキュリティボックスを運用します。セキュリティボックスは鍵穴のない電子ロック式です。また2名以上で伺うため常に荷物から人が離れることがなく事故・盗難・紛失のリスクを最小限にします。
(2)デジタルデータの破壊
NIST(アメリカ国立標準技術研究所規格)に準じたデータ破壊をします。論理破壊には世界的に実績のある「Blancco」を採用しています。より高いセキュリティレベルを求められるお客様には、弊社専門エンジニアを派遣し、お客様の施設内でデータ消去、データ破壊(穿孔破壊、シュレッダー)を実施します。
参考:Data-wipe.net
TES-AMM JAPAN
(3) アナログデータの除去
1台1台 資産管理シールなど保有企業を割り出せそうな情報が貼られていないことを確認、貼られていた場合は除去します。パソコンにDVDドライブがついている場合はドライブを開けてDVDが入っていないことを確認し、残っていた場合は取り出します。チェックをするのはパソコンやタブレットだけではありません。ときには数百枚、数千枚のCD/DVDもケースを1個1個あけて中身を確認し適切に処分します。
(4)業者施設の設備・環境
テスアムジャパンの施設であるSSC(相模原ソリューションセンター)は監視カメラ、常駐警備員、入退室管理、ハイセキュリティルームなど様々なセキュリティ設備が備わっています。また、日頃から5Sを心がけており、事故や機器の紛失・破損のリスクを最小限におさえています。
テスアムジャパンのお客様のなかには、事前アポなしのオーディットをするお客様もいらっしゃいます。そのような厳正なオーディットでも毎回要求に応えられるくらい、日頃から5Sを徹底しており、次回の記事でお話する予定の「プロセス・スタッフ」のレベルも高い水準にあります。
テスアムジャパンはここで紹介した以外にも様々な取り組みをしています。
少しでもご興味を持たれましたら、お気軽にお問い合わせください!