立ち会いが理想だけどね・・・
ITmediaの記事に、 総務省、HDD廃棄時に自治体職員の立ち会い求める 現場は「時間も人手も掛かる」と困惑てのがありました。
総務省は12月6日、個人情報が大量保存された記録装置の処分について、物理的に壊すなどして使えなくするよう全国の自治体に通知。作業完了まで職員を立ち会わせることも求めたそうです。記事によると・・・
HDD内のデータを消去するには、ドリルで穴を開けるなど物理破壊が一番確実な方法だとされる。だが自力で物理破壊を行うには穴を開けるための専用の機械などを準備する必要がある。「作業を大量に行うには人手とスペースが足りない」(担当者)ため、神奈川県は今後、リース契約満了に伴い返却した機器については、物理破壊の現場に職員が立ち会う方針を示している。それでも、ある関東近郊の自治体担当者は「業者の廃棄に立ち会うのは時間も人手もかかる。総務省は現場の実情を正確に把握していないのではないか」と打ち明けた。
だそうです。本ブログでも先々週に 個人情報が保存された神奈川県庁のHDDが転売されデータが流出したそうですが・・・ とのエントリーで取り上げた神奈川県庁のデータ流出事件ですが、総務省がデータ消去の作業完了まで職員が立ち会うことも求めたそうです。
気になるのはデータ消去の方法が「物理破壊」前提なんですよね。確かに物理破壊は確実だとは思うのですが、取り出しが比較的容易なデスクトップ機ならまだしも、ノートPCなどだと結構手間だったりします。ましてや自治体の職員がそれに立ち会うのは現実的ではないように思いますね。
先々週の本ブログのエントリーでも触れましたが、いわゆる「ゼロフィル」を掛けるのであればデータの復元は事実上不可能であるわけですから、自治体側で消去作業を行えばいいんじゃないですかねぇ?DBANであればGPLv2.0ライセンスですから、自治体内で利用するのであればライセンス的にも問題ないように思います。
若しくはドライブ自体を暗号化して利用するなどすれば、そのまま廃棄したとしても暗号化済みであれば問題ないように思います。自治体などではWindowsのSKUはPro以上でしょうから、BitLockerも使えます。当初の利用時から暗号化しておけば特に問題なく利用できるのでは?
データ消去の方法が「物理破壊ありき」だとどうしても立ち会い云々の話が出てきてしまうと思うので、自治体内できちんと処理できる仕組みを考えるほうが現実的だと思いますけどね。優秀な人材が豊富にいらっしゃるお役人様ですから出来ないことはないですよね。我々一般市民のデータにも関わることですからしっかりした管理をお願いしたいところです。