企業において多くの情報やそれを保存している、HDD(ハードディスク)やCD、DVD、USBメモリなどの「記憶媒体」は、有用性という意味では有限のものです。

また、データを取り扱うという意味で、記憶媒体も、安全なデータ削除プログラムの対象となります。実際の物理メディアも、データと同様に、一貫したプロフェッショナルな方法で取り扱う必要があります。データセンターほどの規模になれば厳重な記憶媒体の処分ポリシーなどがありますが、多くの記憶媒体はオフィスの従業員が直接使用しているため、記憶媒体の処分方法を従業員に明確に周知する必要があります。

記憶媒体の処分に潜むリスク


従来、記憶媒体を処分する際は手近にあるゴミ箱に捨てるだけでしたが、多くの組織でこのような処分はもう行われていません。
記憶媒体にはどのようなリスクが潜んでいるのでしょうか?

情報へのアクセスリスク

他の形式で保管されている情報と同様に、組織は、ローカルのハードディスク、CDDVD、フロッピーディスクに保存されている情報にアクセスする必要があります。
そのような情報は、訴訟対策で必要となる可能性がある場合もあれば、単に業務上の価値があるのみの場合もあります。

データのセキュリティリスク

財務、データセキュリティ、データ保護に関する各種条例に準じたコンプライアンスでは、個人情報、組織情報、財務情報などを問わず、情報を安全に保管および処分することが求められます。これは特に、政府機関、医療機関、金融機関における、機密情報や個人情報の保護という側面で重視されます。

環境保護の問題

かつて磁気メディアは、家庭ごみや一般ごみと一緒に処分場に廃棄されていましたが、磁気メディアは分解や腐敗しない性質であることがすぐに判明しました。
現在では、このような方法で磁気メディアを処分することは違法となっています。

メディアに応じた記憶媒体の効果的な処分方法


記憶媒体処分計画の第1段階は、記憶媒体に記録されている情報がすべて、全体的な情報ガバナンスポリシーに準じて識別可能、アクセス可能、検索可能であることを確認することです。

これは、訴訟ホールドや安全なデータ削除にとって不可欠です。情報やストレージメディアが不要と判断された際は、メディアの種類に応じて、異なる方法でそれらを安全に処分する必要があります。

記憶媒体のメディアの種類に応じてどのような処分が必要でしょうか?

ハードディスクドライブ

ファイルをコンピューターのハードドライブから「削除」しても、ファイルは実際には物理的に破棄されておらず、市販のデータ回復ソフトウェアを使用すれば、アクセス可能になる場合があります。これは、コンピューターが古くなって使用しなくなった場合や、コンピューターの所有権が組織外に移転する場合にのみ重要になります。


データは、IT部署や信頼できる第三者のサービスプロバイダーによって完全に消去する必要があります。

データ消去サービスを外部委託する場合、プロバイダーには、データ消去が完了したことを確認する証明書の発行が要求されます。コンピューターが再利用される可能性がある場合は、コンピューター上に存在する可能性のあるソフトウェアのライセンスについても、適切に検討する必要があります。

CDとDVD

CDやDVD には、1回のみ書き込めるディスクと、繰り返し書き込めるディスクがあります。

どちらのディスクも、適切なデータ保護の観点から、物理的に破壊することが最適な処分方法となります。

機密データ以外については、ディスクを粉砕して一般ごみとして処分する方法が適切ですが、専門業者にメディア処分を依頼することも可能です。

フロッピーディスクと磁気テープ

この種のメディアは再フォーマットや消去が可能ですが、それでもデータを復元することが可能な場合があります。

機密情報を保護するための最も安全な方法は、CDDVDの処分方法と同様に、物理的に破壊することです。

USB メモリ

これらのデータストレージデバイスは数年にわたって利用できます。

しかし、機密情報の保存に使用されていた可能性がある場合は、使わなくなった際や処分する必要が生じた際に、デバイスを物理的に破壊することが、データ復元を不可能にするための最も安全な方法です。

多くの組織では、紙媒体の文書の保管や処分は文書管理部門の責任となっています。しかし、業務に携わる関係者は、文書の正しい処分方法について理解している必要があります。

従来、紙媒体の記録文書の処分とは、単純に一般的なシュレッダーを使用した断裁を指していましたが、この方法は、機密情報や社外秘情報には不適切です。
特に機密文書には、クロスカットシュレッダーを使用する方法や、焼却処分する方法が効果的です。

また紙媒体についても、専門業者の処分サービスを利用することが可能ですが、委託する専門業者には、破棄を証明する証明書の発行を要求する必要があります。紙媒体の処分に迷った場合は、基本的にシュレッダーを利用します。

まとめ


本記事では、記憶媒体に潜むリスクとメディアの種類に応じた効果的な処分方法について記載しました。
貴社内でも再度以下をチェックしてみてはいかがでしょうか?

  • 記録管理や情報セキュリティに関する組織の規則に準じてメディアを処分する
  • 処分対象のメディアの内容を検討し、機密かどうかを判断して、適切な処分を実施する
  • 組織の記録保存ガイドラインが定める処分期限が到来していない場合は、記録の最後の1部を残しておく
  • 機密情報を含む可能性のあるメディアについてはすべてログを記録し、消去や破棄に関する証明書と処分日を加えてログを更新する
  • 内容や環境的な配慮を行わず、メディアを不用意にオフィスのごみ箱に捨てない
  • 専門業者のサービスを利用して処分する場合は、メディアの破棄証明書を入手する