【廃棄パソコンからの情報漏えいが増加】廃棄業者選定の重要性

パソコン廃棄時の情報漏えい、見落とされがちなリスクとは

企業において法人パソコンを買い替える際には、古いパソコンを廃棄する必要がありますが、そこで気をつけたいのが情報漏えいです。企業のパソコンは個人情報や機密情報の宝庫であり、そのまま廃棄するのは非常に危険。データ消去を確実に行わなければ、悪意のある第三者が廃棄されたパソコンから情報を盗み取ってしまう可能性があるからです。

通常のファイル削除だけでは完全に消去することはできないため、専門のツール・ソフトを使う方法や、電磁消去によってデータを消去したうえで、物理的に破壊する方法などがあります。しかし、数千台のパソコンを持つ企業にとって、1台ずつデータを消去するのは非常に大きな負担となります。

では、専門業者に依頼すればすべてが解決するかというと、そうとも限りません。 業者に委託しても、適切な処理が行われずに情報漏えいが発生するリスクは残っています。実際に、専門業者に依頼したにもかかわらず情報漏えいが発生した事例があります。以下では、そうした事例や、信頼できる業者の見分け方について詳しく解説します。

岐阜県の中学校での事故が示すパソコン廃棄業者選定の重要性

廃棄されたパソコンのデータが適切に消去されていないと、そこに残された情報が漏えいするリスクが高まります。
企業にとって情報漏えいは大きなリスクであり、信頼の損失につながる可能性があります。一度失った信頼を取り戻すのは簡単ではないため、セキュリティリスク対策は万全にしておかなければなりません。

読者の皆さまに危機感を持っていただくために、具体的な事例を1つご紹介しましょう。
岐阜県のある中学校では、廃棄業者に処分を依頼したハードディスク（HD）がネットオークションに出品され、生徒約750人分の氏名データが流出するという事態が発生しました。

「顧客から受け取ったHDをネットオークションに出品するなんて、どれだけモラルのない業者なんだ！」
「従業員の管理や教育が不十分な証拠だ！」

思わずそうツッコミたくなりますが、実はこんなからくりがありました。処分を請け負った企業は、さらに複数の産業廃棄物処理業者に「粉砕によって破壊」するように再委託しており、その中の一つの業者が破壊せずにオークションに出品してしまったのです。

委託に委託を重ねると仕事への責任感が薄れていくという良くない例ですね……。こんな無責任な対応をされた挙句、氏名が流出してしまった生徒さんが気の毒でなりません。

この事件は、データ消去を依頼する際に信頼できる業者を選ぶことがどれだけ重要か、ということを痛感させます。

※出典：弁護士ドットコムニュース「廃棄依頼した「ハードディスク」がネットで売られ、生徒の氏名流出…法的責任は？」

信頼できるパソコン廃棄業者の選定がカギ

上記の事例からわかるように、パソコンを廃棄する際には信頼できる廃棄業者を選定することが何よりも重要です。

IT分野では、セキュリティチェック表の提供やPマーク（プライバシーマーク）の取得など、信頼性を証明するものがいろいろとあります。例えばPマークは、企業や事業者が個人情報を適切に取り扱っていることを示す認証制度であり、第三者機関が審査・認証しています。

しかし、IT資産を扱う廃棄業者には、こうした信頼性の証明が不十分な会社があるのも事実。そもそもIT業界ではない産廃業者は、データの取り扱いを含むセキュリティ意識が希薄であることも少なくありません……。
そのため、廃棄業者が本当に信頼できるかどうかを慎重に見極める必要があります。

具体的には、まずは業者の実績を確認することが大切です。廃棄を依頼したことがある企業や事業者を知っていれば、そこから評判を聞くと良いでしょう。また、具体的にどのようなセキュリティ対策を実施しているかを確認することも、信頼性を判断する上で重要です。

信頼できる廃棄業者を選定するために確認すべきポイント

以下では、信頼できる廃棄業者を選定するために確認すべきポイントをご紹介します。

データ消去証明書を発行してくれる業者か

第一に、データ消去証明書を発行してくれる業者を選定することが重要です。データ消去証明書とは、パソコンやスマートフォンなどのIT機器のデータが適切に消去されたことを証明する書類であり、データ消去を行った業者、または第三者機関が発行します。

証明書内に「具体的なデータ消去方法」が記載されているかも確認しておいた方が良いでしょう。データは単にファイルを削除・初期化するだけでは完全に消去されたことにならず、専用の復元ツールを使うとデータを取得できる可能性があります。
データを完全に消去するには専門の技術が必要であり、電磁消去や物理的なディスクの破壊といった方法でデータを復元できないように処理する必要があります。これらの方法が証明書に明確に記載されていることが、信頼できる業者を選ぶための大切なポイントとなります。

データ消去の調査・研究活動を行っている「データ適正消去実行証明協議会」（ADEC）に加盟しているかという点も、選定の判断基準の1つです。

ちなみに、データ消去用のフリーソフトを使用している業者の場合、データを完全に消去しきれていない可能性が高いため、避けたほうが無難です。

委託先は、「産廃業者」か「パソコン引き取り業者」か

パソコンの廃棄を業者に依頼する場合、一般的には「産業廃棄物処理業者（産廃業者）」または「引き取り業者」のどちらかに依頼します。

産廃業者は産業廃棄物の処理を専門とする業者であり、依頼者から引き受けたゴミを収集したり、処分場まで運搬したり、リサイクル処理をしたりします。
普段から多くの事業系ごみを処理しているので、大量のPCを処分したい場合には適しています。
しかし、運搬や処理方法に問題のある業者もいるため、地元の都道府県知事や市長から正式に許可を受けているかどうかを確認することが必要です。万が一問題のある業者に依頼してしまった場合、山奥に不法投棄されていた……なんてことにもなりかねないので、しっかりチェックしておきましょう。

また、パソコン廃棄業者の中には、お客様のパソコンを一度買い取り、所有権を移動させることでお客様のマニフェスト管理を不要にし、かつデータ消去も実施するサービスを提供しているものもあります。これは「引き取り業者」と呼ばれます。

しかし、このようなサービスの場合、廃棄処理のその後のプロセスが全く見えないことも多く、さらに一層、信頼できる業者であるかをしっかりと確認する必要があります。正直なところ、産廃業者以上に注意が必要といえます。

廃棄の最終的な責任は企業にある

データ消去や廃棄の手法が不適切な業者は批判されるべきですし、万が一情報漏えいが発生した場合にはもちろん廃棄業者も責任を負います。
依頼元の企業からすれば、「実際に廃棄を行ったのは委託先の業者なのだから、自分たちは悪くない。責任は廃棄業者にあるに決まっている！」と言いたくなるかもしれません。

しかし、パソコンの廃棄に関する最終的な責任は依頼元の企業にあると考えるべきです。パソコンの所有権は企業にあり、個人情報・機密情報の管理責任も依頼元の企業にあるからです。セキュリティ管理が甘い業者に問題があるのは当然ですが、そういう問題のある業者を選定したのは自社であるということも事実。

例えるなら、仕事を任せた部下がミスを犯した場合に、上司が監督責任を負うのと同じ構造だといえます。

社内での廃棄確認プロセスの導入と徹底

信頼できる業者を選定したとしても、情報漏えいリスクが完全にゼロになるわけではありません。
これまでその業者が情報漏えいを起こしたことがなくても、運悪く初めての情報漏えい事案が自社の依頼した案件だった、ということも考えられます。

前述の通り、万が一情報漏えいが発生した場合の最終的な責任は依頼元の企業にあるので、どれだけ実績が豊富で信頼できそうな業者であっても、すべての工程を丸投げというのはおすすめできません。

一方で、大量のパソコンのデータ消去や廃棄を自社で行うのは現実的ではない・・・・・・という場合には、データ消去と廃棄をあえて別々の業者に委託するのがおすすめです。データ消去を専門に行う業者に依頼し、その後、廃棄を別の業者に委託することで、データ消去が確実に行われたことを確認するためのチェックポイントを設けることができます。この方法で、情報漏えいのリスクを大幅に減らすこと可能です。

まとめ：廃棄業者の選定は慎重に

パソコンの廃棄はセキュリティ上のリスクを伴うため、廃棄業者の選定は単なる業務の外注ではなく、「物の管理」の一環として捉えるべきです。

信頼できる業者を選定し、データ消去が確実に行われているか確認するプロセスを設けることで、情報セキュリティの強化と情報漏えいリスクの最小化が実現できます。

いずれにしても、個人情報・機密情報の最終的な管理責任は自社にある、ということを忘れないようにしましょう。

この記事の監修者

古畑 剛（Furuhata Tsuyoshi）

代表取締役

株式会社アセットメントの代表取締役。 2013年10月の会社設立と共にサービスの提供を開始した「Assetment Neo」は、現在800社・80万人が導入している。