PC処分・廃棄時のデータ消去｜3つの方法と注意点を解説

３．データ消去の３つの技術的選択肢

　ここまでPCの廃棄プロセスを解説したが、最も肝心なのは②「データの消去」であろう。万が一、配送途中でPCが紛失したり盗難にあったりした場合でも、データが消去済みであれば、情報漏えいをある程度防ぐことが可能となるからだ。

　ここでデータ消去の方法について、その標準ガイドラインとされてきたNIST（米国国立標準技術研究所）の「SP800-88 Rev.1」を参考にしながら解説していこう。NIST SP800-88 Rev.1ではデータ消去の手法として、以下に説明する「消去（Clear）」「抹消（Purge）」「破壊（Destroy）」の3つが示されている。ただ、最新の規格である「IEEE 2883-2022」が存在しており、内容としては「NIST SP800-88 Rev.1」の後継に該当し、新しい機器の追加や細目の見直しなどが反映されているので、今後はこちらも参考にしていきたい。

関連リンク：NISTのガイドライン「SP800-88 Rev.1」
関連リンク：IEEEガイドライン 「IEEE 2883-2022 Standard for Sanitizing Storage」

３－１．消去（Clear）

　ソフトウェア等を用いて、HDD／SSDにおけるOSが読み書き可能な領域を上書きし、消去するという方法である。具体的には、政府機関の承認を受け、その有効性が確認されている上書き技術や方法、およびツールを使ってHDD／SSD等の媒体を上書きすることでデータを消去するというもの。一度に媒体容量全てに書き込める量の固定データ、あるいは乱数のようなデータを複数回書き込むことで、既存のデータを消去するという方法だ。なお、フラッシュメモリの媒体に対する上書きは媒体の寿命を短縮するケースがあるため、再利用を検討している場合は注意が必要だ。また、OSがデータの読み書きを指定するアドレスである「LBA(Logical Block Address: LBA)」を持たない領域にデータが残っている場合、そのデータは消去できないことも留意しなければならない。

３－２．抹消（Purge）

　OS等からアクセス可能な媒体の領域だけでなく、OS等からアクセスができない領域に対してもデータの消去を可能とする手法である。主に上書き消去や暗号化消去といった手法を用い、アクセスできる全データ領域および余剰領域を消去する。

　また、多くのSSD製品は「SecureErace」というコマンド※1を実装しており、これを使うことでデータの抹消が可能となる（図2）。ただし、SecureEraceはメーカーによってその仕様が異なっているので、SSDのメーカーへの確認が必要なのだが、パソコンメーカーが提供する消去方法であれば保障されているので安心できる。

※1 ATA：CRYPTO SCRAMBLE EXT、NVMe：Secure Erase Settings (SES)

（図2）データ消去における対象領域の比較

３－３．破壊（Destroy）

　物理的破壊装置により、再使用不可能になるように粉砕・破壊する方法である。これにより、通常の方法ではデータの読み出しや復元が不可能となるが、専用の工具や技術、知識が必要となるほか、部品の飛散や発火等に注意して実施する必要がある。

　また、近年のCO2の排出量の削減や持続可能な社会の実現という観点から、PCの再利用が重視される傾向にある中では、破壊という手段の見直しが企業に求められるかもしれない。

３－４．それぞれのメリット・デメリット

　消去、抹消、破壊の３つの選択肢について、それぞれのメリットとデメリットを以下にまとめる。また、どれか1つだけではなく、組み合わせて廃棄を行なうことも考慮し、廃棄プロセスに合わせて使い分けることが推奨される（図3）。

（図3）データ消去方法ごとのメリット・デメリット

４．PC廃棄時に押さえておきたいポイント

　これまでPC廃棄のプロセスから、データ消去の技術的手法について説明してきた。ここからは実際にPC廃棄を安全かつスマートに行なうためのポイントをあげていこう。今回は大きく３つのポイントに分けて紹介する。

４－１．データの種別に応じて適切な消去手段を選択する

　「消去」「抹消」「破壊」を紹介したように、データ消去と一口に言っても様々な方法がある。NIST SP800-88 Rev.1では、セキュリティリスクの度合いや自社の管理体制に応じてそれらの手段を適切に選択し、実施することが推奨されている。例えば、事務レベルのデータ等、情報漏えいが発生した際のセキュリティリスクが低い情報については「抹消」を選択する。

　マイナンバーカードの情報やより重要な機密データなど、情報漏えいが発生した場合に甚大なセキュリティリスクが発生するものについては「破壊」するといった具合だ。

　これらの工程を経た後、検証を行い、外部の事業者を利用している場合には、データ消去の証明書を取得すると良いだろう。

４－２．データ消去は自社で行う

　2つ目は廃棄業者に依頼する前段階で自社でのデータ消去を行っておくことだ。前述したように、移送中にＰＣが紛失・盗難する可能性もある。したがって、まずは従業員自身によってデータ消去を行ってもらうことが望ましい。社員自身が行うのが困難な場合には、PC内に保存されている機密データ等を遠隔操作によって消去できる機能を有したソフトウェアを利用することが有効な手立てとなる。

４－３．外部委託の際は認証事業者であるかをチェック

　最終的な処分・再利用にあたっては、廃棄業者に委託し廃棄やリサイクルを行ってもらうことになるが、業者の選定に際して、信用調査が不可欠となる。信頼できる外注先を見分けるにあたっては、公的認証制度の取得や業界団体の加盟の有無が参考となるだろう。

　例えば、データ消去においてはデータ消去技術を専門とした「データ適正消去実行証明協議会（略称：ADEC）」※2という団体が消去ソフトの認証等を行なっている。

※２ ADEC：外部の専門機関にデータ消去検証を委託し、技術認証を行っています。

●まとめ

　これまでPCの廃棄に不可欠となるデータ消去の技術と手法、およびフローについて説明してきた。

　まずは自社で取り扱っているデータの重要性を検証しつつ、適切な消去方法を選択、適用することが肝要となる。企業の信頼を守るためにも、IT担当者は情報漏えいのリスクを可能な限り抑制するとともに、今後は環境への貢献を意識した資源の再利用にも取り組んでいかなければならない。本記事の情報が、情報システム部門の方々のPC廃棄を円滑に進める一助となれば嬉しく思う。

セキュリティ性能に優れたレッツノート

最新のレッツノートはセキュリティ機能が強化されている「Windows 11 Pro」を採用。Microsoft Edge の高速化、Microsoft Teams搭載など、多様化する働き方に対応した機能も追加。どのシリーズも軽量・コンパクトながら、負荷の掛かる作業も快適に行える。また、手軽に駆動時間を回復できる着脱式バッテリーパックの採用で長く使える安心の設計。

外出先でも作業に集中したい方に
SRシリーズ（12.4型）

自宅でもオフィスでも快適に仕事をしたい方に
FVシリーズ（14.0型）

対面でのプレゼンテーションが多い方に
QRシリーズ（12.4型）