東京の金融サービス企業がノートパソコン200台を廃却しました。6ヶ月後、顧客データがダークウェブで売却されていました。その結果:APPI罰金、法的責任、顧客通知、そして評判の損失。
ITAD(IT Asset Disposition:IT資産処分)は、日本の個人情報保護法、環境規制、商業ライセンス要件によって規制される、旧式のIT機器の安全な廃却です。
ITADとは何か、なぜ重要か
ITADは在庫調査、データ削除、物理的な廃棄、データセキュリティと規制遵守を確保する文書作成を網羅しています。APPIは個人データに対する厳格な保護義務を生じさせます。組織は最大1億円または年間売上の1%の罰金、さらに刑事罰に直面する可能性があります。古物商許可は、中古電子機器を取り扱う事業者が必須です。ライセンスのないプロバイダーを利用すると法的責任が生じます。
ITADを規制する日本の規制
APPI:データ保護要件
APPIは機器廃却時に個人データを保護するための「必要かつ適切な措置」を要求します。単にファイルを削除するだけでは不十分です。組織は処理した機器、使用した方法、廃却日を文書化する必要があります。
古物商許可:中古品販売業許可
IT機器を取り扱う事業者は古物商許可が必須です。ライセンスのないプロバイダーとの取引は法的な問題を招き、通常は不適切なデータ破壊を引き起こします。
ITADプロセス:ステップバイステップ
資産在庫管理と分類
資産タグ、シリアル番号、設定を記録した包括的な在庫リストから始めましょう。異なる機器は異なる取扱いが必要です。
データサニタイゼーションと破壊
ソフトウェアベースのワイプ処理はストレージメディアを上書きします。暗号化削除は暗号化キーを破壊します。物理破壊(粉砕、圧縮、消磁、焼却)が最も安全です。NIST 800-88が詳細なガイダンスを提供しています。
検証と文書化
破壊後に検証と文書化を実施します。文書には処理した機器、使用した方法、廃却日が含まれます。7年間保存を推奨します。
NIST 800-88:業界標準
NIST SP 800-88は3つのカテゴリを定義しています。クリア(Clear)はデータを上書きします。低リスク環境に適しています。パージ(Purge)はデータ復旧を困難にします。磁気ドライブの場合:セキュアイレースと消磁。SSDの場合:暗号化削除。ほとんどのビジネスITADに適しています。破壊(Destroy)は物理的にメディアを損傷させます。機密性の高いデータに適しています。
ITADプロバイダー選定の10項目基準
- 古物商許可の検証
- NIST 800-88準拠
- オンサイト vs オフサイトのオプション
- チェーン・オブ・カストディ文書
- 破壊証明書
- 環境認定資格
- 保険適用
- 参照顧客
- レポート・監査サポート
- 価格の透明性