マイナンバーに対応した機器処分業者選定のポイント(続編)

IT・IT製品TOP > Key Conductors > 金田 智行(株式会社パシフィックネット) > マイナンバーに対応した機器処分業者選定のポイント(続編)
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

マイナンバーに対応した機器処分業者選定のポイント(続編)

物理セキュリティ 2015/09/02

適正な業者選定のための6つのポイント

 前回は、マイナンバーが記録された機器・電子媒体のデータ消去方法と機器処分業者の選定ポイントについてお話いたしました。今回も引き続き、選定ポイントをより具体的に解説してまいります。機器処分を委託する先の業者には、データ消去、廃棄、リユース(買取)、リサイクルなどを専門とする様々な業態の業者が存在し、それぞれ得手不得手があります。またそれらを兼業しているところも少なくありません。機器処分業者を選ぶ上で最も重要なのは、その業者の組織・体制・人・施設等に於いて、マイナンバーを含む情報の漏洩リスクがどれだけ少ないかを見極めることです。

 具体的には、
(a)情報機器についての専門知識
(b)データ消去の完全性
(c)作業を行う施設(工場等)のセキュリティレベル
(d)機器搬送時の安全性
(e)社内体制・内部統制 & (f)社員教育
 
等がどれだけ充実し担保されているのかということになります。

(a)情報機器についての専門知識

 言うまでもなく、PCやタブレット、サーバーなどの情報機器の取扱いについて専門性が高いのか否か。家具や日用品を含めて何でも処分したりリユースしている業者で情報機器の専門知識がない業者も少なくありません。専門知識に疎いと、機器に記録されたデータの“復元不可能”な消去方法を知らなかったり、そもそも消去を行わないで廃棄をしてしまう可能性もあります。餅は餅屋ではないですが、情報機器を専門に取り扱っている業者を選定すべきだと言えるでしょう。

(b)データ消去の完全性

 これは前回のコラムで解説した、マイナンバーガイドラインに定められた「専用ソフトウェアによる上書きデータ消去」「物理破壊」「磁気消去」の、復元不可能なデータ消去方法の導入が担保できているかどうかです。中には依頼した機器や電子媒体のデータを消去したことを、端末のシリアルナンバー単位で記録された「削除証明書」を発行することで証明してくれる業者であることも極めて重要です。これができないと、万が一作業ミスがあったり、不正な処分、不法投棄が行われていても依頼元には分からないからです。

(c)作業を行う施設のセキュリティレベル

 データ消去にしろ、物理破壊や磁気消去にしろ、作業は委託元企業か委託先業者の施設(または再委託先の施設)で行われます。この作業を行う施設のセキュリティが万全でないと、作業待ちの一時保管段階での盗難やデータ持ち出しが可能となり、データ漏洩のリスクが高まります。保管場所の厳重な施錠はもちろんのこと、各エリアへの入退室管理や防犯・監視等の物理セキュリティシステムの導入が徹底されているかを確認します。

(d)機器搬送時の安全性

 作業を行う場所が、委託元から離れた委託先業者や再委託先の施設である場合、データの記録された機器・電子媒体の搬送がともないます。ここに潜んでいるデータ漏洩のリスクは、搬送中の紛失や盗難によるものです。施錠が可能なカーゴを利用しての搬送は必須ですが、最近ではカーゴにGPSを設置し、どういうルートで搬送されたか委託元が把握できるサービスもあります。単純な紛失以外にも搬入搬出時の数量の数え違いや、誤配送などのミスも想定しなければなりません。宅配便や配送業者を別で利用するよりも、しっかりと教育を受けたドライバーによる自社便での搬送が可能な委託業者であればそのリスクも少なくなります。
 更に複数の拠点にまたがり機器の処分を行う事業者の場合は、それぞれの拠点に近い施設を持った全国規模の委託先が搬送を行うことで、搬送距離と時間の短縮によるリスク低減と管理の煩雑化によるミスを防止することが可能となります。

(e)社内体制・内部統制 &(f)社員教育

 ハード面のセキュリティがしっかりしていても肝心なのは、やはり人であり組織です。委託先業者が、その組織や体制・ルール・教育に於いて、データ漏洩の危険性をいかに取り除いているかが肝となります。情報漏洩を防止するための指針や規定を作成し明文化、それを実行するための組織・体制を構築し、社員教育を定期的に施しているかどうか、またそれがきちんと統制され監視・監督されているかを把握した上で選定を行いましょう。
 更に認証機関の審査を受けてISMS27001プライバシーマークなどの認証を取得してる業者であれば、この点に於ける漏洩リスクも低いと言えるでしょう。

 以上の点を把握し慎重に見極めた上で、業者選定を行うことが、マイナンバーガイドラインに則した機器・電子媒体の処分が可能となり。逆に、忙しさのあまり粗大ゴミとして廃棄をしてしまったり、従来の業者に今まで通りに廃棄を依頼することはマイナンバー漏洩のリスクを高めてしまうことにつながってしまいます。


 次回は、実際にあった“廃棄時の漏洩事例”のご紹介と、データ漏洩により企業が受ける影響、廃棄よりもリユースをおすすめする根拠等についてお話したいと思います。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008173


IT・IT製品TOP > Key Conductors > 金田 智行(株式会社パシフィックネット) > マイナンバーに対応した機器処分業者選定のポイント(続編)

このページの先頭へ

キーマンズネットとは
株式会社パシフィックネット取締役 アセット営業部長 2003年パシフィックネット入社。名古屋支店長を5年務めた後、IT機器の買取・回収などの処分や、 データ消去サービスを取り扱うアセット営業部の部長として主力商品であるアセットサービスを牽引する。2014年取締役に就任。

ページトップへ