ニュース・トピックス

ニュース・トピックス 詳細

 

オークネット総研ニュースレター配信
~中古デジタル機器流通市場の動向を探る~
第4回:情報システム機器廃棄・再流通時に求められるセキュリティ(3)
〜機器処分時の現場の変化、それを請け負う側の立場から〜

2021年7月9日

 オークネット総合研究所(所在地:東京都港区/理事長:佐藤俊司/URL:https://www.aucnet.co.jp /aucnet-reseach/)は、BtoBネットオークションを主軸とした情報流通サービスを提供するオークネットグループが運営し、独自の調査レポートなどを発表しています。当レポートは昨今注目される中古市場に関し、情報通信研究家・木暮祐一氏に取材・調査を依頼し、ニュースレターとして不定期で配信しているものです。
 デジタル機器の中古流通、とくにPCやスマートフォンなど記憶媒体を持つ機器の廃棄や再流通時には、記憶媒体のデータを完全抹消する必要があります。昨年末に改訂された総務省による地方公共団体向けのガイドラインでは「庁舎内において消去を実施し、職員が作業完了を確認」という要件も追加されました。こうした中で、実際の現場ではどのように対応しているのでしょうか。今回は不要になった情報機器類を処分する際に、それを請け負う側の立場の方々からお話を伺ってきました。



1.神奈川県庁事件から見直されたわが国のガイドライン

 本コラムでは、神奈川県ハードディスク転売・情報流出事件をきっかけに、記憶媒体を備える情報通信機器(以下、機器等)の廃棄時における取扱いについての動きをご紹介してきた。地方公共団体におけるそれらの取扱いについてガイドラインの見直し1)が行われ、セキュリティレベルに応じた具体的な処理方法が定められた。

 わが国ではこれまで、機器等の廃棄に関しては情報漏洩対策を講じるべき記述こそあっても、その具体的な方法まで明示したガイドラインは見受けられなかった。中央省庁を見てもこれまで省庁ごとに機器等の処分時におけるガイドラインこそ定められていたが、それらには「適切に処理を行うこと」といった漠然とした記述のみだった。具体的に何をどのように処理すればいいのか、どのような方法でその責任を担保するのか、といった内容まで踏み込んだものはほぼ見受けられなかった。一方欧米では、かなり細かい指針を定めていた。こうしたやり方を行えば完全にデータを消去できる、といった技術に基づいた手法がガイドラインに明記されているのが通例だった。

 そうした中で神奈川県庁事件が起こり、それをきっかけに昨年総務省が機器等の廃棄時における情報セキュリティポリシーに関するガイドラインの改訂を行ったが、総務省の検討会では米国国立標準技術研究所(NIST)の情報技術文書SP800-88 Rev.12)を参考にガイドラインを検討したと考えられ、前回のレポートではこのNIST SP800-88について解説をさせていただいた。このNIST SP800-88では記憶媒体で取り扱われた情報のセキュリティレベルとその後の機器が再利用されるか否かに応じて、「消去」「除去」「破壊」のいずれかの処置を行うことと、その具体的な処理方法が機器等別に明示されている。

 現代社会において情報通信機器の利用はもはや欠かせないことであり、消費された機器等の処分時においてはガイドラインに沿ってしかるべき処理が必要となる。欧米では以前から具体的な処理方法まで踏み込んだガイドラインが存在し、それらは時代に応じて見直しが行われてきた。すなわち記憶媒体も進化、多様化し、その記憶域も飛躍的に大容量化していく中で、それらに技術的に対応させるべく処理方法も変遷してきたのである。そうした中で、2014年に改訂されたNIST SP800-88 Rev.1は、SSDやスマートフォンなどの最新の情報通信機器まで具体的な処理方法を記述していることで、現在まさに社会で利用されている機器類に対応したガイドラインとして着目され、総務省の検討会で参考にしたとされている。

 こうしてようやくわが国の機器等廃棄時における取扱いが厳格化、そして明文化されてきた。それではガイドライン改定後、それら機器等の処分が必要となる実際の現場では、ガイドラインに準拠するために、取り扱いに変化は出てきたのだろうか。記憶媒体を持つ機器等の廃棄時においては、それら機器類を処分する側の立場と、それを請け負う側の立場がある。今回は処理を請け負う側の動きについて取材を行った。

2. オンサイト処理にシフトし業界団体の役割が高まってきた

 まず自治体や大手企業において、記憶媒体を持つ情報通信機器が使用期限を終えて処分される際に、その取り扱われ方に変化は出てきたのだろうか。

 総務省の地方公共団体向けの新たなガイドラインでは

 「情報システム機器が不要になった場合やリース返却等を行う場合には、機器内部の記憶装置からの情報漏えいのリスクを軽減する観点から、情報を復元困難な状態にする措置を徹底する必要がある。この場合、一般的に入手可能な復元ツールの利用によっても復元が困難な状態とすることが重要であり、OS及び記憶装置の初期化(フォーマット等)による方法は、ハードディスク等の記憶演算子にはデータの記憶が残った状態となるため、適当でないことに留意が必要である。また、原則として、以下の表(当ニュースレターでは省略)に記載されている方法により、記録されている情報の機密性に応じて、情報システム機器の廃棄等を行わなければならない。」と定められた上、“庁舎内において消去を実施し、職員が作業完了を確認”することが義務付けられた。

 とはいえ、日ごろから多忙な自治体職員が、しかも専門知識が求められる機器等の除去や消去をどのように実施しているのだろうか。

 情報機器リユース・リサイクル事業を行う事業者の業界団体である一般社団法人情報機器リユース・リサイクル協会(略称:RITEA)3)にお話を伺った。同事務局の小野氏によれば、

 「神奈川県庁事件では、使用済みの情報通信機器類の処分については、結局のところすべて業者任せで行われていた。処分を依頼する先の事業者も大手企業であり、そこは信頼関係の上での委託関係であったわけだが、実際にはそうした自治体が大半だったと考えられる。その結果起こってしまった事件であるが、外注先の企業自体が信頼できる大手であったとしても、その内部の人間が悪意をもって問題を起こしてしまった神奈川県のようなケースは、これを完全に防ぐことは容易ではない。」

 となれば、総務省のガイドラインにも示された通り、やはり機器類が機関外部に出る前に消去や除去の処置を行うことが必要となるが、地方公共団体ではどのように対応しているのか。

 「当然、自治体の組織内部だけで機器等の処理を行うのは無理がある。そうした中で、最近はオンサイト(訪問)による物理破壊やデータ消去が注目されてきている。RITEA加盟の事業者が依頼元の地方公共団体に出向き、処置を行うまで組織外に持ち出せない機器等を職員の目の前で物理破壊や消去、除去といった処理作業を行っている。その場でデータ抽出ができないところまで処置できたことをご確認いただき、データ消去の証明書も発行する。その上で、機関から持ち出し、廃棄や、再商品化などを行う」(小野氏)

 もちろん、総務省がガイドラインを改訂してからまだ半年が経過したところであり、自治体側もPC等の償却期間やリース期間は数年であろうから、機器等の処分方法の変化は徐々に出てきたところと見るべきだが、結局のところ今後の機器等の処分は庁舎内での処置が求められるので、情報担当職員が少ない中でオンサイト処理のニーズは高まっていくことが予想される。また、現状ではまだ物理破壊が多いということだったが環境保護という観点から、物理破壊して廃棄するよりもデータ消去の上でリユース機器として再流通させることが今後は増えていくと考えられる。

 総務省のガイドライン改定を受けて、とくに「庁舎内において消去を実施し、職員が作業完了を確認」という要件をどのように満たすかが、地方公共団体に限らず今後は機器等の処分を行う企業等においても大きな課題になっていくと考えられる。こうしたところに新たなニーズが生まれており、データ消去、除去あるいは破壊までをオンサイトにより処理し、データが復元できないことまでを確認してから機関外へ運び出すという一連の作業を、適正な品質や価格で請け負える受け皿が必要になってくる。信頼できる業者の斡旋や品質の担保を行う仕組みをRITEAのような関連業界団体が改めて見直し、整備を進めているようだ。


3. データ消去ソフトウェアの対応状況

 一方、機器等の消去、除去に当たって使用されるデータ消去ソフトウェアの利用傾向には変化が出てきたのだろうか。データ消去ソフトウェア大手の株式会社ブランコ・ジャパンから話をお伺いした。ブランコは英国企業であり、PC、スマートフォン、サーバ、ネットワーク機器等のデータ消去と診断を行うソフトウェアやソリューションを全世界に展開している。日本法人のブランコ・ジャパンは日本および韓国を営業エリアとして事業展開している。同社代表取締役・呉孝順氏にお話を伺った。




株式会社ブランコ・ジャパン 代表取締役 呉孝順氏



 「データ消去ソフトウェアの重要性についての認識は、残念ながら世界と日本で乖離があるように感じる。世界では、一般の企業などからも直接、データ消去ソフトウェアの引き合いがある。しかし、日本ではデータ消去は廃棄の際に業者任せにしているようで、機器等を廃棄する側の自治体や企業等からの利用はわずかである。当社もほとんどはデータ消去を事業として行っている事業者向けの提供がほとんどで、直接必要とするクライアント企業等からの引き合いの割合は低い」(呉氏)

 その上で、昨年のガイドライン改定以降、データ消去の考え方も変化してきており、わが国でもようやく世界並みに自治体や企業等が廃棄する機器等のデータ消去についてその責任を重視し、クライアントとなる公共団体や企業自らデータ消去に向き合うようになっていきそうだ。

 「SDGsという観点や環境面への配慮からも、廃棄が必要となった機器等の健全な二次流通を拡げていく必要がある。とくに自治体や大手企業で使用期限が終了し処分する機器は、まだ十分に再利用が可能な機器が多い。それらは破壊・粉砕して廃棄するよりは、確実にデータを除去して再流通させていくほうがエコといえる。そうした場合に、NIST SP800-88などの国際的なガイドラインに準じたデータ消去処理を確実に施し、その処理を証明する方法が確立される必要がある」(呉氏)

 ちなみにブランコのデータ消去ソフトウェアは、世界20カ国以上で政府調達基準・コモンクライテリア(CC)のISO15408を取得している。日本国内では、国内メーカー製のデータ消去ソフトウェアも存在するが、国際基準での認証を取得しているのはブランコのみという。認定や認証を取得するには費用がかなりかかる上、検証の範囲もかなり広範なので、国内では取得しているところが少ないのが実情という。

 「自治体や大手企業で不要となり、二次利用される機器等は、場合によっては海外に再版されていく可能性もある。とくに取得価格を抑え情報通信機器を利用したいというニーズは新興国や途上国から多い。こうした地域へ中古流通させていくために、今後は国際基準で認証を取得しているソフトウェアやソリューションが求められていくはずである」(呉氏)

 実際に、国内で消費された機器類のリユース品の輸出は、コロナ禍以前までは増加傾向をたどっていたという。


4. リユース機器類の輸出品品質管理に向けた取り組み

 少々データが古いが、RITEAは2017年にリユース情報機器の販売に関する年次実績調査結果を公表している。これによると、2016年度の情報機器総販売台数(RITEA加盟の事業者34社の協力を得て集計)は、ノート型パソコン・卓上型パソコン・ワークステーション・サーバー・液晶ディスプレイ装置(単体販売分)・CRTディスプレイ装置(単体販売分)・業務用複合機(複合多目的プリンタ)・業務用ページプリンタ・業務用コピー機・業務用印刷機・業務用プロッタ・ルータ・ハブ・一眼レフデジタルカメラ・コンパクトデジタルカメラ・デジタルビデオカメラ・ビジネスフォン・ビジネスフォン用交換機・従来型携帯電話・スマートフォン・タブレットの情報機器21品目の合計で、370万6千台(前年度比15%減)となっている。そのうち、RITEA会員のうち輸出取扱事業者によるパソコン・液晶ディスプレイ装置・プリンタ機器・サーバ機器の輸出台数は66万2千台に及び、当時対前年度比40%増と大幅な増加が見られた。輸出先は東アジア、東南アジア、南アジア、西アジア、西アフリカ、北アメリカ、北ヨーロッパの7地域15カ国となっていた。

 RITEAによれば、わが国のリユース品に対する外国からの評価は高く、その高品質・高信頼性を示す意味として「Used in Japan」という言葉が複数の開発途上国で使われているという。特にわが国のリユースパソコンやリユースプリンタ機器に対する外国からの評価は品質面・信頼性等から高く、わが国から輸出されたリユース機器類は開発途上国のICT化支援に大きく寄与しているという。

 直近の販売台数や輸出台数に関しては、近く加盟事業者への調査を実施の予定としつつ、近年の傾向について前出のRITEA事務局・小野氏によれば、 「輸出は堅調に伸びていたのだが、昨年からのコロナ禍によるテレワーク需要や今年からスタートしたGIGAスクールの影響を受け、国内において中古機器類が流通量不足という状況にあり、またコロナ禍の国際物流の不安定さも重なり、現在では輸出はほぼ止まった状況にある」という。

 RITEAはもともと、情報機器のリユースのために適切な対応をしている事業者に対して「情報機器リユース・リサイクル協会認定情報機器リユース(再利用)取扱事業者資格取扱要領」4)により、RITEA認定資格である「RITEA認定情報機器リユース(再利用)取扱事業者」資格を付与し、認定取扱事業者であることを示すロゴマークを使用する権利を付与している。そしてこれら事業者が商品化したリユースパソコンには「RenaissancePC」 のロゴシールを貼付して出荷、販売を行うことでリユースパソコンの品質を担保する仕組みづくりに2010年から取り組んできた。




RITEA認定取扱事業者が商品化したリユースパソコンに貼付される
「RenaissancePC」 ロゴシール


この優良リユース中古情報機器認定の仕組みは輸出品にも拡げてきた。一方で、リユースに適さない低品質の機器類が輸出され、環境汚染に発展するという問題も起きてきたという。

「国際ルールとして「バーゼル条約」(正式名:有害廃棄物の国境を越える移動及びその処分の規制に関するバーゼル条約)や、わが国の法律では、「バーゼル法」(正式名:特定有害廃棄物等の輸出入等の規制に関する法律)があるにも関わらず、リユースに適さない使用済みパソコン等が中古品として偽って輸出されることが続いており、輸出先において不適切な手段で部品・金属等が回収され、現地の方々の健康及び環境への悪影響を及ぼすことが発生し、今後国際問題に発展する懸念もあり、業界団体が輸出中古機器類の品質管理に一層力を入れていかなければならないと感じている」と小野氏は述べる。

 リユースに適さない使用済み電気・電子機器の不正な輸出の防止をめざし、2013年9月に経済産業省と環境省(以下、国)は、「使用済み電気・電子機器の輸出時における中古品判断基準」を発表し、2014年4月から適用を開始している。その対象機器は95種類と非常に幅が広い。

 この中でパソコンやプリンタ機器では使用後の装置に残っている個人情報消去等が必要など、他の電気・電子機器等とは取り扱いが異なることから、RITEAでは情報機器のうち、販売台数が特に多いリユースデスクトップ型パソコン、リユースノートブック型パソコンおよびパソコン用のリユース液晶モニター装置を輸出する際に対応すべき事項を整理したガイドラインとして、「輸出用リユースパソコン等の製品化基準」5)と業務用コピー機(印刷機を含む)、業務用複合機、業務用ページプリンタ(プロッタを含む)を輸出する際に、さらに対応すべき事項を整理した「輸出用リユースプリンタ機器の製品化基準」6)を策定し公表している。

 また、RITEAはこれら独自のガイドラインに基づき認定取扱事業者によって商品化された輸出用のリユースパソコン、リユース液晶モニター装置、リユース業務用コピー機、複合機等について、RITEAの定める品質をクリアしていることを示す「DirectReuse」ロゴシールを作成し、機器等に貼付を行うことで輸出向けリユース機器類の品質の担保も実現させている。




RITEAの定める品質をクリアしている輸出用リユースパソコンに
貼付される「DirectReuse」ロゴシール


 リサイクルによって再資源化するよりも、完全なデータ消去、除去を講じてリユース機器類として国内で再販したり、輸出によって開発途上国のICT化発展に寄与することのほうが、環境保護という観点からも有益なはずである。コロナ禍によるテレワーク需要やGIGAスクール構想スタートに関連して、現時点では国内におけるリユース機器類の流通量確保が課題となるほどであるが、いずれまたリユース可能な機器類は増加に転じる。

 個人情報漏洩を徹底的に防止するための確実なデータ消去、除去を前提としたリユース機器類の品質担保の取組みや、バーゼル条約やバーゼル法で規定している特定有害廃棄物等の輸出の防止、さらにはリユース機器類の輸出段階におけるトレーサビリティ(履歴管理)の明確化などによって品質管理を徹底することなど、業界団体が担う役割はますます重要なものとなりそうである。


<参考>
1)総務省:「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の公表及び意見募集の結果(2020年12月28日)
https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000107.html

2)NIST: Guidelines for Media Sanitization (NIST SP800-88 Rev.1)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

3)一般社団法人情報機器リユース・リサイクル協会(RITEA)
http://www.ritea.or.jp/index.html

4)RITEA:情報機器の売却・譲渡時におけるハードディスクのデータ消去に関するガイドライン
http://www.ritea.or.jp/eh_guide.html

5)輸出用リユースパソコン等の製品化基準
http://www.ritea.or.jp/pdf/ex_1.pdf

6)輸出用リユースプリンタ機器の製品化基準
http://www.ritea.or.jp/pdf/ex_2.pdf

本リリースのPDFはこちら


——————————————–

 

写真9

 黎明期からの携帯電話業界動向をウォッチし、2000年に(株)アスキーにて携帯電話情報サイト『携帯24』を立ち上げ同Web編集長。コンテンツ業界を経て2004年にコンサルタントとして独立。2007年には「携帯電話の遠隔医療応用に関する研究」に携わり徳島大学大学院工学研究科を修了、博士(工学)。スマートフォンの医療・ヘルスケア分野への応用をはじめ、ICT の地域社会での活用に関わる研究に従事、各地の主要大学でモバイルやICTに関する講義を行ってきた。 現在、総務省 地域情報化アドバイザーとして地方のDX支援に携わる一方で、一般財団法人情報法制研究所 上席研究員としてデジタル機器の情報セキュリティに関する動向をウォッチする。

<オークネット総合研究所 概要>
 当総合研究所は、1985年に世界初の中古車TVオークション事業をスタートし、以来30年にわたりオークションを主軸とした情報流通サービスを提供するオークネットグループが運営。これまで培った実績とネットワークを活用し、専門性、信頼性の高い情報を発信することで、更なる業界発展に寄与することを目指しています。

所在地:〒107‐8349東京都港区北青山二丁目58号 青山OMスクエア
理事長:佐藤 俊司
U R L:http://www.aucnet.co.jp/aucnet-reseach/

——————————————–

<本件に関するお問合せ>
株式会社オークネット 広報担当:高野、横田、廣中
TEL:03-6440-2530  E-MAIL:request@ns.aucnet.co.jp

※本資料を利用される際は、オークネットにご一報の上、提供元を「オークネット総合研究所」と明記して、ご利用ください。



ニュース一覧へ