第599号コラム:松本 隆 理事(株式会社ディー・エヌ・エー システム本部 セキュリティ部)
題:「事業者が抱える社内デバイス廃棄問題」
事業者にとって社内デバイスの廃棄問題は頭の痛い問題だ。できれば現状のフローのままそっとしておきたかったというシステム管理者も多いだろう。しかし、昨年末のブロードリンクの一社員によるハードディスク転売・情報流出事件によって、我々はいま一度、社内デバイス廃棄問題という闇を暴いて、見直さざるを得なくなったのである。なお、本コラムの内容はより厳密なデータ管理が求められる政府・自治体組織を含まない「事業者」を想定しているが、そもそもの発端や社会的影響を考慮しつつ、政府・自治体の読者にも自らの組織に置き換えて読んでいただければ幸いだ。
事業者は多種多様な情報デバイスを、ビジネスのさまざまな場面で活用している。クライアントやサーバなどのコンピュータはもちろん、スマホにタブレット端末、スイッチやFirewallなどのネットワーク機器、複合機や監視カメラなど数え上げればきりがない。社内で使用しているデバイスは、自社購入品もあれば短期間利用するレンタル品、長期間の利用を想定したリース品もある。それぞれ役割を終えたデバイスは、いずれ自社で廃棄したり、レンタル及びリース元へ返却する必要がある。
その際に問題になるのは、情報デバイスに保存されているデータだ。少なくとも社外秘扱いとなるデータは、デバイスを処分する際に、事業者自身の手で確実に消去、もしくは利用不能状態にしておかねばならない。事業者によって作成されたデータは、あくまでも事業者の責任で最後まで管理されるべきである。これが原則だ。
ほんの数台のデバイスであれば、社内のヘルプデスクなどでデバイスを預かり、データを上書き消去したり、場合によっては物理破壊することも可能だ。だが、事業者の規模が大きくなり扱うデバイスの数が増えると、それらの作業をすべて社内で賄うのはコスト的に割に合わなくなってくる。また、事業で取り扱う多種多様な情報デバイスに保存されたデータを、確実にそして安全に利用不能状態にすることは、実はそう簡単ではない。OSやハードウェアの知識はもちろん、対象とするデバイスごとの専門的な知見、そして取り扱うデバイスの状態によっては特殊なツールが必要になる。
そのため、事業会社においては、情報デバイスの返却/売却/譲渡/廃棄時に、専門のデータ処理業者に作業を委託するケースが必然的に多くなる。まさに、今回のブロードリンクの件と同様に、外部の専門業者に業務を委託することになる。ただし、データの管理に対する責任は、あくまでデータを作成した委託元の事業者側にあるという原則を忘れてはならない。神奈川県庁がそうであったように、仮に委託先での管理上の問題が明らかになった場合、本当に痛い目を見ることになるのは委託元になるからだ。
事業者の社内システム管理者は、事件を踏まえてどう対応すればよいだろう。業務委託制度自体を根本から見直すべきだろうか?それともそこまで大事にする必要はないのだろうか?意見は様々あるだろうが、少なくとも既存の社内データ管理規定と、情報デバイス廃棄のフローについては、これを機に見直しておくといいだろう。
社内データ管理規定や情報デバイス廃棄フローは、必要なタイミングで見直され、改訂され、現場に周知されているだろうか。事業部門では新しいデバイスやサービスを利用しているにもかかわらず、何年も改定されていなかったりしないだろうか。今回の件を受けて、改めて事業部門のデバイス利用状況を調べれば調べるほど、システム管理者に知らされていない、未知のデバイスが発掘されるかもしれない。だが、現実として新規事業の現場とはそういうものだ。事業開発のなかで新たなデバイスが採用され、規定は次第に形骸化され、もともとの意義など現場には全く伝わっていない。しかし、それはアップデートも現場への啓発もせず、古い規定を使い回している会社側にも責任がある。使えない規定が放置された結果、現場ではさまざまな解釈が横行することになる。ともあれ、重要なのは過去ではなくこれからどうするかだ。
事業者で新規に取り扱うことになったデバイスやサービスが、社内の規定やフローから漏れていないか、早急にチェックすべきだ。例えば社内配布用のタブレット端末や、UTMなどのセキュリティアプライアンス、監視カメラなどの物理セキュリティデバイスなどにも記録媒体が存在しており、利用方法によっては機微なデータが記録されている。クラウドサービスに関しても、サービス提供側にユーザデータ管理のガイドラインやポリシーが存在する(そしてこれらは更新される可能性が高い)ので、定期的に目を通しておくべきだ。データ管理を行うためには、社内にどのような情報デバイスやサービスを利用し、どのような内容のデータを、どんな状態(暗号化など)で記録しているかの把握が不可欠となる。
社内の情報デバイスと記録データの把握が終わったなら、それらのデバイスに対する適切なデータ廃棄手段を検討しておく。デバイスのデータ廃棄手段は、一般的に「データ上書き消去」「物理破壊」「初期化」が考えられる。「データ上書き消去」とは主に記録媒体(HDD)が再利用可能なケースで用いられる。上書きにはいくつかの方法があるが、ソフトウェアによって特定の文字のパターン等で記録媒体のデータ部に一回以上書き込みを行うといったものが現在の主流だ。「物理破壊」は文字通り物理的な破壊を行う。再利用を許可しないケースや、記録媒体が故障してソフトウェアによるデータ上書き消去が行えない場合などに用いる。「初期化」は記録媒体というよりもモバイルデバイスやネットワーク機器などのアプライアンスで用いられるケースが多い。基本的には再利用可能なケースで用いられる。初期化の仕様も、単にデータのインデックスを消すだけのものから、Secure Eraseなどを用いて復元ツールでのデータ再利用を不可能にするものもあり、情報デバイスごとの初期化の仕様に依存する。
デバイスごとの「データ上書き消去」「物理破壊」「初期化」のポリシーや仕様は、あくまでデータ破棄を委託する側が把握しておくべきだ。業務委託する際には、データ処理業者に丸投げするのではなく、委託元が責任をもって情報デバイスごとに適切な廃棄手段を指示する責任がある。
社内でのデータの破棄作業の場合は、原則社員が立ち合い、対象について適切に処理されたかどうかを確認し、写真などとともに記録を取っておく。社内での作業スペース確保が困難な場合や、処理する対象が大量であり処理時間との兼ね合いで、社内で作業を完結することが困難な場合では、社外持ち出しをして委託先の作業場で処理する場面が想定される。その際に、毎回委託先の作業場まで赴いて、社員が立ち会うことは難しいだろう。社外でのデータの破棄作業を認める場合には、デバイス引き渡し時に引き渡しリストを作成し、どのデバイスがいつ社外に持ち出され、作業場所に到着し、デバイスごとに指定した作業が完了したことを、作業報告書形式で確認可能であることが重要だ。
厳密な情報管理が求められない一般的な事業者の場合には、社外秘以上のデータが記録された情報デバイスを、必要なセキュリティを担保することにより、例外的に社外での廃棄作業を認められるような余地をデータ管理規定や統制手続(ルール)に盛り込んでおくといいだろう。
例えば、メーカー直リース品のような配送からデータの処理までワンストップで厳密な回収プロセス管理が行われている複合機のケースや、「機密回収BOX」のような、紙媒体であっても厳重に封印された状態で、専門の事業者が適切に取り扱うサービスを利用している企業も多いだろう。これらのサービスで取り扱う対象には、社外秘どころではない機密情報が記録されている可能性が高いが、厳重に顧客情報が守られるサービスであるため(求めれば監査レポートも入手可能だ)多くの企業が利用している。セキュリティや情報管理の徹底が担保されている既存のサービスをうまく活用できるようなルールにしておくといいと思う。
また、昨今の働き方の見直しなどで、会社から支給され適切に管理されたデバイスにデータが暗号化された状態で保存されている場合に、在宅勤務などでPCの社外持ち出しを許可しているケースもあるだろう。こういった他の社内ルールとの整合性をとったルールにしておくべきだ。
最後に最も重要なのはデータ処理業者の選定だ。こちらが指定する手段で、対象デバイスのデータ破棄作業と、それに伴う事務処理を実行する能力のある事業者を選定しなくてはならない。残念ながら、リユース前提のデータ処理業者には様々なレベルの業者が存在する。そもそも技術的にデータ処理の基準に達しない不適格業者もいれば、今回のケースのように作業プロセス管理に重大な問題を抱える業者も存在する。報告書の偽造などをされると委託元としてはお手上げなところもある。結局のところ、「安かろう悪かろう」な業者に引っかからないためには、データの処理を相手に丸投げせず、データの管理責任がデータを作成した側にあることを理解したうえで、業者のレベルを見極め、適切に業者に指示できるくらいわれわれ発注側が賢くなるしかないのだろう。
【著作権は、松本氏に属します】