代表コラム

「IT化経営羅針盤」 毎週無料配信中
中小企業のIT導入法や事務自動化方法を実践的に解説しています

IT化経営羅針盤58「情報の保護」は経営者の責任

最近新型コロナ関連のニュースに混じって、国会議員ご夫妻の違法行為の話題が多くなってきています。「まぁ、よくある醜聞だよね」と思って経緯を見ていたところ、その捜査に結構デジタルが使われていることに少なからず関心を持ちました。どうやらこのご夫妻は捜査チームにデジタル捜査をされた様で、ぼろぼろと不都合な事実が明らかになってきました。

・押収したパソコンのデータを復活させたら、現金の配布先リストらしきものが出てきた
・スマホのGPSログを解析し、どこに立ち寄ったか客観的な証拠をつかんだ

といったものです。正直なところ捜査チームがここまでの手を使って証拠固めをしていることは少なからず衝撃的ではありますが、これら二つとも民間の間では普通の手法であり、場合によっては特に技術的知識が無くともある程度のことはできてしまうツールなども存在しています。
経営の立場で一番気をつけなければならないのは、この2例のうちの前者。つまり情報の保護です。捜査チームは詳しい手法を明らかにはしていませんが、このご夫妻はパソコンの中のデータを普通に消去したのだと思います。例えば、データをゴミ箱に入れる、Shift+Delキーでゴミ箱を経由せずに消去する、などの方法で消したのだと思います。このような方法で消去した場合、消去した後よほど使い込むことがなければかなりの確度でデータの復元ができてしまいます。
しかし、コトは刑事事件です。ご夫妻も検挙を恐れてデータを消去しているはずですので、この程度の「軽い消去」で満足したとは思えません。パソコンがそのままの形で残っていた、ということなので、少なくともストレージの初期化や工場出荷状態への切り戻しを行ったのではないかと思います。しかし、それでも専門的な知識を持つ人にとっては、データの復元は比較的容易です。そこまで捜査チームがデータ復元に向けて頑張る、ということをこのご夫妻は想像できなかったのでしょうか。それとも、このような一般的でソフト的な消去程度でデータを完全に抹消できると思ったのでしょうか?いずれにしても、認識が甘かったのかもしれませんね。
もう一つ、少し前ですが、神奈川県が使っていた使用済みのハードディスクがオークションに転売されてしまった事件がありました。神奈川県はデータの「簡易的消去」を行った上で、完全消去を業者に委託していたとのことですが、この「簡易的消去」は先の政治家ご夫妻のやったこととおそらくほぼ同じレベルのことだと思います。神奈川県の場合は、完全消去を業者に委託していたので、「簡易的消去ではデータ保護が完全ではない」ときちんと認識されていた訳ですが、その業者内での管理が甘かったため、流出につながってしまいました。
ここまで「データの消去に関する安全性」に疑問が生じてしまう事例をご説明してきましたが、中小企業にとってもデータの漏洩は死活問題です。あるとき「うちには機密情報はありませんから、セキュリティなど無縁です。むしろISO9000を頑張らないと。」とおっしゃる経営者さんに出会いましたが、その会社ではある大手企業の下請け仕事をやっており、部品製造する会社でした。当然その大手企業からは図面や技術指示の書類データが提供されるわけですが、それらは当然機密情報ですね。なのに、「機密情報は無い」と社長が断じられているのは、現状誤認も甚だしく、極めて危険な状態と言わざるを得ません。私がその大手企業の窓口責任者であれば、ただちに大至急の是正を求め、監査に入るでしょう。なぜなら、上記の通り「データの消去は頑張ってやらないとできないこと」だからです。データ廃棄にはそれなりのリソースが必要であることを認識していない経営陣がいる会社に大切なデータを預託することはとても危険な行為ですし、いったん漏洩してしまうともう回収することがほぼ不可能なので、取り返しがつきません。
では、どうすれば完全なデータ破棄ができるのでしょうか?ハードディスクであれば、全エリアに対してランダムなデータを上書きすることでほぼ安全になると言われています。市販のデータ消去ツールを使っても、ある程度安全にデータ消去ができるということですね。半導体ディスクの場合には、その方式が様々あるので、物理的破壊(たたき壊す)がベターな選択かもしれませんが、より安全なデータ消去を行うためには、「管理の行き届いた業者への委託」が良いかもしれません。
決してファイル消去やディスクの初期化などで安心してしまわないように気をつけるべきです。
ストレージ廃棄における情報保護について経営者の役割は、

・機密情報を定義して特定できる状態にする
・機密情報を保存しているストレージを特定する
・そのストレージがどのように管理されるべきか決定する
・そのストレージを廃棄する際、データをどう廃棄するか決める

だと思います。もちろんこれ以外にもネットワークやサーバーレベルのセキュリティに気を遣わねばなりませんが、その点はまた改めて。

安易なデータ消去やストレージ廃棄は思わぬところで自社のリスクになります。そんなことで経営問題になってしまわぬよう、経営者には細かい考慮が求められると思います。

無料メールマガジン登録

経営者へのIT化ヒントが詰まった代表コラム「IT化経営羅針盤」や、各種ご案内をお届けします。ぜひ、ご登録ください。