コンプライアンスにおけるアーチャーズパラドックス
2021年10月14日子供のための基本的なサイバーセーフティ
2021年11月9日
執筆者:Milica Vojnic
世界やビジネスの歴史のなかで、これほど多くのデータが存在したことはこれまでありませんでした。今日のデータには顧客の基本情報や一般的な情報のほか、機密情報や個人を特定できる情報も含まれています。このデータはビジネスをより効率的に進める助けとなりますが、機密情報が第三者に漏洩して悪意ある目的に使われるリスクも生じています。この脅威に対応するため、世界各国の政府がデータの使用を管理するルールや規制を厳しくし始めています。なかでも有名なのは、EUが市民のデータを保護する目的で導入したGDPR(General Data Protection Regulation:一般データ保護規則)です。その結果、顧客データを活用したり破棄したりするにあたり、企業はより良い方法に投資する必要性が生じました。
なぜ顧客データの破壊が重要なのか
GDPRや同様の法的枠組みの規定の一つは、顧客データを扱う人や団体は、たとえデータを積極的に使わなくなっても、その安全性とセキュリティに責任を負うというものです。この規定の下では、どの企業も使わなくなったデータを完全にかつ回復不能に破壊する必要があります。それを怠ると経済的かつ社会信用上重大な損害を引き起こす可能性があります。しかし確固としたデータ破壊ポリシーを導入することの利点があるにもかかわらず、大半の組織はこの領域で基準に達していません。デジタル時代に責任あるビジネスを行ううえで不可欠なのは、適切に設計されたデータ破壊ポリシーの実装です。
データ破壊ポリシーに含まれるものは何か
一般的に、データ破壊とはデータを完全に破壊することであり、様々な方法で実施されます。データを破壊する適切な方法を決定する主な要素のひとつは、データの機密性です。いくつかの方法では他の方法に比べて安全性で劣るため、機密性の高いデータは記憶媒体そのものを物理的に破壊して処分されるべきです。データ破壊ポリシーに組み込むことができる方法には次のようなものがあります。
物理的データ破壊
この方法は最も安全性が高いと考えられ、機密性が高かったり極秘扱いの情報を破壊するのに最も良い方法です。IT資産の処分とも呼ばれていますが、この方法は問題のデータを記憶媒体から消去するだけではありません。記憶媒体を物理的に破壊して100%復元不能にします。この方法の欠点は、記憶媒体を再利用することができずコストがかさむ点です。
安全なデータ消去
この方法は大半のタイプのデータに適していて、記憶媒体を完全に破壊する必要がないため他の目的で記憶媒体を再利用することができます。この方法は、特殊なソフトウエアを使ってデータを無意味なバイナリーコードに上書きする専門のデータ破壊機関が行わなければいけないことに注意してください。この方法は十分に安全で効果的と考えられますが、物理的に記憶媒体を破壊する方法ほど安全性は高くありません。
データ破壊ポリシーにバックアップデバイスを含める
重要なデータのバックアップをとっておくことの必要性は誰もが認識していますが、データが必要なくなり破壊する際にバックアップデータの存在を忘れることがよくあります。適切なデータ破壊ポリシーには、全ファイルのバックアップの破壊も含めるべきです。不要になったバックアップデータをそのまま残しておくことにより、セキュリティリスクが生じます。
さらに安心できるようトレーサビリティを追加する
データ破壊ポリシーは実際のデータ破壊だけを扱うべきだと考える人がいるかもしれませんが、そうではありません。実際、データ破壊ポリシーはデータを活用している間のデータ保護対策も含める必要があります。重要な要素は、データのライフサイクル全体を通して記憶媒体とデータをいつでも見つけられる機能です。これを可能にする方法のひとつは、記憶媒体のシリアル番号でどこにあるか追跡し続けることです。これによって全てのデバイスが確認でき、物理的な盗難に関連するリスクを最小限にできます。
サービスプロバイダーを賢く選択する
価値のあるデータ破壊ポリシーには、信頼のおける専門性が高いデータ破壊スペシャリストを含める必要があります。評判の良い外部のサービスプロバイダーを使えば、国際的なベストプラクティスに従ってデータを破壊され、破棄証明書の形で確認を受けることができるでしょう。こうした証明書の保持により、GDPRや同様の規制の下で企業が完全に責任を果たしたことが証明できます。
不正検査士にとって何を意味するか
データ破壊は企業が十分なリソースを費やすことを怠ることが多いものですが、どんなビジネスにおいてもますます重要になってきています。特に不正検査士にとっては、あらゆる種類のデータ漏洩が個人情報の盗難や詐欺、IPの盗難につながる可能性があるため、これは倫理の問題となります。堅牢なデータ破壊ポリシーの策定と実装に投資することで、どんな企業もデータ保護規則違反による金銭的な損害を回避して、社会的信用と顧客の機密データを守ることができます。
この記事は、WisetekのMilica Vojnicによって書かれました。Milicaは、企業が安全性とコンプライアンスを維持するため、ハードドライブの消磁の重要性と ITADのサービスポリシーを定期的にアドバイスしています。
英文タイトル :The Importance of Having an Effective Data Destruction Policy
英文記事リンク:https://www.acfeinsights.com/acfe-insights/importance-having-effective-data-destruction-policy
原文掲載日:2021年8月17日
翻訳:ACFE JAPAN事務局
※わかりやすさを優先させるため、意訳を行っています。ACFE JAPAN (一般社団法人 日本公認不正検査士協会) 公式の邦訳とは異なる表現を使用している場合があります。