vol.2 データを削除すれば安心?データ消去の誤解

2013/04/12

一般的に使用済みのコンピュータは、購入している場合ならデータを消去したのちに下取り業者に買い取ってもらうケースが多く見られます。また、リースやレンタルしたコンピュータは業者へ返却し、その後再利用(リサイクル)するか、廃棄処理されてレアアースやレアメタルを取り出すという流れが一般的です。

このコンピュータの入れ替えの過程で問題となりやすいのが、HDD内に蓄積された情報の消去忘れです。HDD内に蓄積された情報がそのまま残ってしまい、悪意のある第三者によってデータが復元されてしまことで貴重な情報資産が流出するという事件に発展する可能性も否定できません。実は、プライバシーマーク(Pマーク)制度ではコンピュータ内に保存した個人情報を廃棄する際には、コンピュータ内からデータを完全消去することが求められています。ISMS認証制度など情報セキュリティに関する意識が高まっている今だからこそ、万一の情報漏洩を防止するためのデータ消去は非常に重要となってきます。

ならば情報をDeleteした上でゴミ箱を空にしてしまえばいい、とお考えの方もいらっしゃることでしょう。それがだめなら、添付されているソフトウェアでHDDの初期化、いわゆるフォーマットを行ったり、リカバリーCDを活用して工場出荷状態に戻したりなど、HDDの内容をきれいに消去することが対策としてふさわしいとお考えの方もいらっしゃるはずです。しかし、これらの方法ではデータがHDD内に残ってしまい、復元できてしまう可能性を残しています。つまり、情報漏洩が起こりうる状況に変わりはないのです。

一般的にDeleteされた情報は、目次となるインデックス情報と実際の本文情報が切り離されるだけで、インデックス情報や本文情報はそのままHDD内に残っています。またフォーマットを行うと、インデックス情報が削除されますが、本文情報は普通の操作では読み出せない状態のままHDD内に蓄積され続けており、専用の復旧ツールであれば読み出せてしまいます。

HDD内のデータを消去せずに外部に委託してしまったことで、情報漏洩に繋がった事件は後を絶ちません。例えば、静岡市清水区にある小学校で使われていたパソコンをリース会社に返却したところ、産廃業者が屋外で保管していたことでパソコンそのものが盗まれ、生徒の写真や成績などを含めた3900件の個人情報が流出したということがあります。また、千葉県鴨川市にある林業事務所のパソコンに関して廃棄処分を業者に依頼したものの、リサイクルショップで転売されてしまい、数千人分の個人情報が流出したということもありました。他にもインターネットオークションを通じてパソコンが転売され、出願済特許を含めた知的財産に関する情報が漏洩したこともあります。

HDD内の情報を完全に消去するためには、前述した方法とは異なる別のアプローチが必要なのです。