事業者は、個人情報や取引先のデータ取扱いに十分注意しなければなりません。情報の漏えいが起こってしまうと、ペナルティが課されたり損害賠償請求されたりもします。そこで状況に応じて、データ消去を確実に実行することが重要です。
ここではデータ消去の必要性や、情報漏えいのリスクなどを詳しく解説していきます。
企業におけるデータ消去の必要性
企業が多くのデータを持ち、有効活用していくことは、ビジネスを発展させるために必要です。しかしデータの保有はリスクに活用もつながることであり、不必要に多くのデータを保有し続けるべきではありません。
以下では、企業にとってなぜデータ消去が必要なのかを見ていきましょう。
企業や自治体は多くの情報を持っている
自治体や医療機関などを含む各企業は多くの情報を持っており、中には個人情報や取引先の情報など、漏えいによって多大な被害をもたらしてしまうデータも含まれています。
例えば氏名や住所、電話番号などの個人情報などが挙げられます。マイナンバーに関する情報には特に配慮が必要です。
他にも、メールやチャットのデータ、顧客リストが漏れることで取引先に迷惑がかかってしまうこともあります。営業秘密が漏れてしまうと、自社の将来を左右する事態にも発展しかねません。
データというと保有や管理に注意が行きがちですが、必要のないデータに対しては、これ以上保有しないという選択肢を持つことが大切です。データの消去の仕方にも細心の注意を払いましょう。
オンラインストレージにもデータが残る時代である
オンラインストレージを利用すればどこからでもデータにアクセスできるようになり、業務効率の改善にも役立ちます。
しかしながらオンラインストレージを利用していると、データがデバイス上のみならず、クラウド上に保存されることになり消去も簡単ではなくなります。
パソコンなどデバイスから消去したつもりでもオンライン上にはデータが残っている可能性があるため、より確実な方法でデータ消去する必要が高まっているのです。
データ・情報に関する法律も整備されている
情報の漏えいに対する関心も高まっており、情報の適切な取扱いに関しては法律でも規制されています。そのため、データ消去が適切に行われていなければ法に抵触してしまい、ペナルティを受けるおそれもあり注意が必要です。
例えば「個人情報保護法」や「サイバーセキュリティ基本法」があります。
個人情報保護法は個人情報をデータベースとして利用し事業を行っていれば、規模や営利・非営利などに関わらず、どの事業者にも適用される法律です。第4章「個人情報取扱事業者の義務等」の第19条「データ内容の正確性の確保等」には、データ削除に関して以下のように規定されています。
「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」
(引用元:個人情報の保護に関する法律 第四章第十九条)
サイバーセキュリティ基本法は、サイバーセキュリティに関する施策の推進について基本的な内容を規定したものです。第七条では「サイバー関連事業者その他の事業者の責務」として「その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努める」よう求めています。
(引用元:サイバーセキュリティ基本法第七条)
データ漏えいに潜むリスク
データ漏えいによって生じる具体的なリスクを認識する必要があります。情報管理責任者はもちろん、全従業員が把握できるようにして、全社的に情報セキュリティ意識を高めましょう。
刑事罰を受ける
個人情報の漏えいに対して措置命令が出されることがありますが、この命令に背くと個人情報保護法の規定により、刑罰が科される可能性があります。その他報告義務違反や不正流用をした個人および法人への罰則も設けられています。
2022年4月から施行される改正個人情報保護法により罰則が強化されており、データをより厳格に運用するよう、今まで以上に注意が必要です。
例えば、措置命令違反を犯した個人に対しては「1年以下の懲役」または「100万円以下の罰金」が科されることになりました。法人に対しては、最大1億円の罰金が言い渡される可能性もあります。
(参照元:個人情報の保護に関する法律 第七章罰則 第八十三~八十七条)
損害賠償責任が発生する
上のペナルティは刑事上の責任によるものですが、それとは別に被害者個人との関係で民事上の責任を追及されることもあります。
損害の大きさに応じた賠償責任です。刑事罰としての罰金より大きな金銭的負担を負うケースも珍しくありません。
社会信用が著しく低下する
データが漏えいしたことによって、「あの企業は個人情報等の取扱いをきちんとしていない」「取引のリスクが大きい企業かもしれない」といった印象を持たれ、社会信用を大きく落とす可能性があります。すでに取引のある企業との関係も終わってしまうかもしれませんし、株価の暴落も避けられません。
損害賠償自体はその場の負担だけですが、もっと重大な問題は信用を毀損することによる長期的な影響です。信頼を回復するには相当の労力と時間を要します。その観点からいうと、万が一漏えい事件が発生してしまったとしても、真摯かつ迅速な対応を取ることでダメージを最小限に抑えることが重要です。
生産性が著しく低下する
データが漏えいした事実が周知されることで、取引先や顧客から問い合わせが殺到するおそれがあります。日々苦情に対応することに追われて通常の業務に差し障りが生じ、生産性が低下することも考えられます。
SNSでも誹謗中傷の書き込みが増えるなどして、従業員のモチベーションの低下も避けられないでしょう。
データ漏えいを防ぐには「完全なデータ消去」が確実
漏えいを防ぐにはデータ消去が効果的です。
ただし、パソコンやスマホなどの端末からファイルを削除したからといって、完全にデータが消えるとは限りません。特に重要な情報に対しては「完全なデータ消去」が必要です。完全に消すための方法を実行するとともに、完全に消せたことが客観的に把握できる状態にする必要があるのです。
パソコンで「完全に削除」を実行したり、パソコンのフォーマット(初期化)を行ったりしても、データはパソコンのストレージに残っているのをご存知でしょうか。ストレージ内からも完全に消し、復元不能な状態にしなければなりません。
また、近年はクラウドストレージを利用する機会も増えているため、オンライン上にもデータが残っていないかにも着目する必要があるでしょう。
「データ消去証明書」でリスク回避
専門スキルや知識がなければ、確実にデータが消えたことを確認するのは難しいものです。フリーソフトとして出されているデータ消去ソフトやデータ消去の専門業者もありますが、信頼できる消去方式により消されていること、そして「データ消去証明書」を取得することが漏えいに対するリスクを回避する上では大切です。
データ消去証明書とは?なぜ必要?
「データ消去証明書」とは、ある記憶媒体からデータが消えたことを証明する書類のことです。
例えば企業では、個人情報などのデータをパソコンのHDDやSSDのほか、ストレージサービスなどに保有しています。不要になったデータを消去する際、完全に消去されたことを確認しなければなりません。
従来は、データ消去業者にデータ消去を依頼したとしても、実際に消去されるかは当該業者に委ねられていました。また、業者が自社で独自に発行した「作業証明書」だけでは、データが確実に消去されたことを客観的に証明するのが難しいといえます。
その点、第三者機関にデータ消去証明書を発行してもらうなら、データ消去を客観的に証明することが可能です。自社が安心できるのはもちろん、取引先や顧客からデータ消去に関して問い合わせられた際、客観性のある証明書を見せることで信頼されやすくなるでしょう。
「NetApp ONTAP®」はエンタープライズストレージで初のADECデータ消去証明書を発行
データ消去証明書を発行する第三者機関として「ADEC(データ適正消去実行証明協議会)」があります。一般社団法人コンピューターソフトウェア協会により設立された任意団体で、データ適正消去実行証明書発行事業や、関連する調査なども行っている機関です。
そして、このADECによるデータ消去証明書発行機能を備えた法人向けストレージサービスが「NetApp ONTAP®」です。2020年12月にエンタープライズ向けストレージとして初めてADECの「消去技術認証」を取得し、ADECデータ消去実行証明書の発行を実現しています。
まとめ
企業はデータの活用により事業を発展させていけますが、取り扱いを間違えると逆に大きな損害を被る可能性も秘めています。そこで必要のないデータは消去し、リスクを最小限に留めることが大切です。
しかしストレージの利用も盛んな現代ではデータの消去も簡単なことではなく、データ消去を客観的に証明する必要性が高まっています。
「NetApp ONTAP®」であれば総務省が定めるデータ消去ガイドラインに沿ったデータ消去機能を備え、ADEC認証の消去証明書発行機能も備えています。このような機能を備えたソリューションとして国内初であり、国のガイドラインに沿った高い水準でデータ管理を行いたい企業におすすめのサービスです。
