神奈川HDD流出事件から1年　データ消去の新ガイドライン改定内容とは

　2019年12月、神奈川県庁の廃棄HDDの不正転売事件が発生した。同事件は自治体が信頼して廃棄を委託した業者が発端だったため大きな波紋を呼び、各報道機関によって大きく取り上げられた。

　情報記憶媒体の適正な処分について注目が集まってからおよそ1年、2020年12月28日に総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月版）」を改定し、公表した。

何が変わった？　新ガイドライン

　2021年1月19日、総務省のガイドライン改定を受けサーバ、ネットワーク機器といったITハードウェアの保守運用サービスなどを展開するゲットイットは「データ消去」に関するウェビナーを開催した。ウェビナーには、データ適正消去実行証明協議会（ADEC）の鈴木啓紹氏（ADEC事務局担当）、沼田 理氏（ADEC技術顧問）とゲットイットの中村浩英氏（ITADマネジャー）が登壇し、ガイドラインについて解説した。新ガイドラインでは一体何が変更されたのだろうか。

新ガイドラインでは、機密性に応じた廃棄方法と確実な履行が追加

　新ガイドラインは、複数のセキュリティ関連の分野について見直された。改定されたのは主に次の7点だ。

• 情報資産及び機器の廃棄（データ消去）
• マイナンバー利用事務系の分離の見直し（いわゆる三層分離の見直し）
• LGWAN接続系とインターネット接続系分割の見直し
• リモートアクセスのセキュリティ
• LGWAN接続系における庁内無線LANの利用
• クラウドサービスの利用に当たっての注意点
• セキュリティ人材の育成や体制について

　本稿では、改定ポイントの一つであるデータ消去を取り上げる。データ消去について、「情報の機密性に応じた機器の廃棄等の方法」と「確実な履行方法」について、約2ページ分の記述が追加、改定された。

「情報の機密性に応じた機器の廃棄等の方法」「確実な履行を担保する方法」の要約（提供：ゲットイット）

具体的にどうすべき？　新たに規定されたデータ消去の方法とは

　具体的には、機密性に応じた処理方法を実施することとしている。情報資産の中で最も機密性の低い「機密性1」（行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産「機密性2」と、行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産「機密性3」に該当しないもの）の情報を保存する記憶媒体は、庁舎内において「一般的に入手可能な復元ツールの利用によっても復元が困難な状態にする」ことを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.