消したデータ、
本当に消えていますか?

データ消去サービス

14????????????No.1の弊社でも復旧不可能!

「最新のデータ消去装置導入」
スタンドアローンで稼働可能なオンサイトリペアシステムを導入しております。全メーカーのHDD上のデータ消去が可能。高いデータセキュリティプロトコルを採用しているので、本システムが顧客データをリードする事はありません。6回書込みによるデータ消去モードを備え、同時に24台を作業することが可能です。

データを消去する

官公庁や大学、一般企業で使用済みとなったパソコンの廃棄は重要な問題です。
廃棄する際、パソコンからデータを削除したつもりでも「ゴミ箱に入れる」「ゴミ箱を空にする」というアクションだけでは
パソコンに内蔵されたハードディスク(以下HDD)からデータを完全に抹消することは出来ません。

「ゴミ箱に入れる」「ゴミ箱を空にする」というアクションは、
ユーザーがWindowsなどのオペレーティングシステム(以下OS)のソフトウェア上でデータを消去しただけであり、
HDDにはデータとしてしっかりと残っています。
この消したデータは市販やフリーの「復旧ソフト」を使用すると、ある一定の条件下でデータを復旧・復元出来てしまいます。

■ OS上からデータを削除した場合

HDD上の削除-ごみ箱HDD上の削除-ごみ箱

ごみ箱を空にしただけでは、データが完全に消えておらず、復旧ソフトで復旧・復元できてしまうことがあります。

■ データ消去専用装置でデータを削除した場合

HDD上の削除-業者によるデータ消去装置HDD上の削除-業者によるデータ消去装置

ごみ箱を空にしたHDDをデータ復旧装置にかけると、データが完全に消えており、復旧ソフトでも復旧・復元できません。

外部委託業者に委託し
データ消去を依頼

パソコンなどを廃棄する際、リース会社やデータ消去サービスを行っている業者に依頼して、
データを消去する業者に依頼している官公庁や企業は多くありますが安心する事はできません。
残念ながら、外部業者の不正から情報漏洩が発生したという事例がおきています。
自社でしっかりとした運用をしていたとしても、突然、情報漏洩事故を起こした企業となってしまう危険性がありますので、
外部委託業者選びと委託後の定期的な監査は必要だと思います。

情報漏洩のリスク

パソコンの廃棄依頼

パソコンの廃棄依頼

廃棄機器の管理不十分

外部業者にて解体・データ消去

外部業者にて解体・データ消去

解体・データ消去が完全でない

ネットオークションなどで販売

ネットオークションなどで販売

在庫管理がずさん

改正個人情報保護法

2017年5月に改正個人情報保護法が施行され、1件でも個人情報を取り扱っている事業者は、
すべて個人情報保護法の適用される事になりました。
情報漏洩事故を起こしてしまうと「罰則」と「損害賠償」を負う事となります。

データ消去おける情報漏洩事故事例

【事例1】2019年12月(神奈川県)
神奈川県がパソコンを廃棄する際、リース会社と処理業者に委託していたが、処理業者の社員が大量の個人情報、行政データが蓄積されたHDDをインターネットオークションで販売していた。2016年から継続的に3,904個のHDDを含む記憶媒体を販売していた事が判明した。
【事例2】2017年2月(岐阜県)
中学校で使用されていたパソコンのHDD1台が、インターネットオークションで落札され、そのHDDに生徒ら約750名分の名前のデータが残っていたと発表された。
中学校から引き取ったパソコンを複数の産業廃棄物処理業者に破壊処理を委託したが、このうちの一業者がHDDを破壊せずインターネットオークションに出品した。
【事例3】2008年6月(岩手県)
生物工学研究所のリース契約満了のパソコンの一部がインターネットオークションで無断転売され、データが流出していた事が判明した。
産業廃棄物処理業者に、データ消去を条件に回収を依頼したが実際にはHDDのデータを消去しないまま無断でインターネットオークションに25台のパソコンを出品していた。

課せられるペナルティ

情報漏洩事故を起こしてしまうと、刑事・民事の両方でペナルティが用意されています。
刑事上の責任「罰則」と民事上の責任「損害賠償・謝罪金」は3つとも科せられる可能性があります。

個人情報保護法に違反したり情報漏洩を発生させてしまうと、国から「是正勧告・改善命令」が出されます。
個人情報保護法では「一発アウト」とはなっていません。

【刑事上の責任】(罰則)

是正勧告・改善命令に違反した場合

違反した従業員に対し
・最大6ヶ月の懲役
・最大30万円の罰金
のどちらか、または両方が科される

違反した従業員を雇用している事業主に対し
・最大30万円の罰金
が科される

不正な利益を得る目的で個人情報を漏洩した場合

違反した従業員に対し
・最大1年の懲役
・最大50万円の罰金
のどちらか、または両方が科される

違反した従業員を雇用している事業主に対し
・最大50万円の罰金
が科される

【民事上の責任】(損害賠償・謝罪金)

損害賠償

企業が個人情報を漏洩してしまうことは「不法行為」となり、その損害を賠償する「不法行為に基づく損害賠償責任」が発生します。

■ 損害賠償額(慰謝料+弁護士費用)の相場・基準
被害者への損害賠償額については、過去の事例からある程度の「相場」が形成されています。人に知られたくないものであるほど損害賠償額も高くなる傾向にあります。

■ 1人あたりの損害賠償額の例
基本的な情報を漏洩した場合の損害賠償額は1人あたり5,000円〜15,000円が相場となっています。

(例:6,000円の場合)
6,000円 = 慰謝料 5,000円 + 弁護士費用 1,000円

(例:15,000円の場合)
15,000円 = 慰謝料 10,000円 + 弁護士費用 5,000円

謝罪金

企業が損害賠償金とは別に自主的に金券などを配る場合、1人あたりの金額は500円〜1,000円くらいですが、少額すぎて受け取った側は安すぎると思うかもしれませんが、莫大な件数になるので企業への負担は小さくありません。

HDD内に記録されたデータを完全に消去する方法

HDD内に記録されたデータを消去する方法としては、以下のような方法があります。

専用装置で電気的・磁気的に塗りつぶしを行う方法アイコン

専用装置で電気的・磁気的に塗りつぶしを行う方法

証明書アイコン
HDDの型番、製造番号と消去作業記録を残し、消去の証明に使用。
HDDを物理的に破壊する方法アイコン

HDDを物理的に破壊する方法

証明書アイコン
HDDの型番、製造番号を撮影し消去の証明として使用。

完全消去を定めた規格

データの完全消去を定めた規格は、「政府規格」や「業界標準」など複数存在します。
全ての規格が着目している主要ファクターは「上書き回数」です。また、削除処理のベリファイ(再確認)や上書きパターンの表示についても定めている規格もあります。

■ National Industrial Security Program
米国政府が定めたNational Industrial Security Program(以下、NISP)の1995年版のオペレーティングマニュアルDoD5220.22-Mでは、データの完全消去処理について「全てのマッピング可能なセクタに何らかの文字で上書きを行った後、その補数の文字で上書きを行い、さらにランダムな文字コードで上書き処理を行う。」という手法を認めていたが、2001年には「トップシークレット情報を扱った記憶媒体の処理方法おしては認定しないと決定された。」
これは現在多くの市販ソフトウェアがこの方法を維持している。

完全消去を定めた規格について参考

DDSのデータ消去

バイナリデータ データを保存したとき、記憶媒体ではパソコンが認識するために16進数に変換され書き込まれます。
この情報をバイナリーデータと呼びます。例えば「画像データ」を保存すれば「11 00 FF 78・・・・・」と何桁にも変換されます。
※バイナリーデータはデータ情報の他にも、WindowsやMacなどの使用環境のファイルシステムやPCを構成する情報等も書き込まれています。

バイナリデータ DDSでは、最新のデータ消去装置「スタンドアローンで稼働可能なオンサイトリペアシステム」を導入しております。
全メーカーのHDD上のデータ消去が可能です。高いデータセキュリティプロトコルで顧客データを本システムでリードする事はありません。6回書込みによるデータ消去モードを備え、同時に24台を作業することが可能です。
完全消去を行うために、対象の記憶媒体に対して、上記のリペアシステムを用い、書き込まれたデータ全領域に対して、16進数に変換された数字情報を「00」に上書きを行います。1回の上書き作業ではデータの痕跡が残っている可能性があり、元データが推測される恐れがあるので、上書き作業を最低でも3回重ねます。そうすることで、バイナリー情報は全て「00」に置き換わり、完全にデータを取り出すことができなくなります。

社会的制裁を受けないために

処理業者に依頼しているから安心ではありません。実際に不祥事が発生してしまっています。刑事罰や民事責任だけではなく、社会的制裁も加わります。
企業ブランドは著しく失墜し、経営陣の退任や事業そのものも出来なくなってしまうかもしれません。
今契約している処理業者は本当に大丈夫なのか。自社内の取扱ルールに不備はないかもう一度見直してみてください。

>刑事罰や民事責任だけではなく、社会的制裁も加わります

まずはご相談ください

デジタルデータソリューション株式会社では、データ消去専用機械を導入しております。
社内のセキュリティ体制も厳格化されており、社内見学された多くの官公庁や企業様より高い評価をいただいております。
データ復旧業界で14年連続国内売上No.1のデータ復旧サービスでは、
納品するデータはレンタル用のHDDに記録して納品し、返却時に完全なデータ消去を日々行っています。
完全なデータ消去が必要な場合は是非ご相談ください。