sg sg-security-measures asset_management physical_security outsourcing information_leakage
まず結論
情報機器の廃棄管理とは、PCや記憶媒体を廃棄・返却・譲渡するときに、情報漏えいが起きないように管理することです。
SG試験では、次のように整理すると判断しやすくなります。
| 観点 | 内容 | 判断ポイント |
|---|---|---|
| データ消去 | 機器内のデータを復元できない状態にする | 削除や初期化だけでは不十分な場合がある |
| 委託先管理 | 廃棄業者に任せきりにしない | 契約・手順・管理体制を確認する |
| 消去証明書 | 消去や破壊の実施記録を残す | 後から説明できる証跡になる |
| 廃棄記録 | いつ、何を、どう処理したかを記録する | 情報資産管理とつなげる |
ポイントは、廃棄したつもりではなく、安全に処理したことを確認・記録することです。
直感的な説明
情報機器の廃棄は、重要書類を処分する場面に似ています。
重要書類を捨てるときに、ただごみ箱に入れるだけでは不安です。
シュレッダーにかけたか、誰が処理したか、処理が終わったかを確認します。
PCや記憶媒体も同じです。
ファイルを削除してから業者に渡すだけでは、データが復元される可能性があります。
そのため、廃棄では、消去方法・委託先・記録をセットで管理することが大切です。
定義・仕組み
情報機器の廃棄管理とは、不要になった情報機器を処分するときに、内部に残った情報が漏えいしないように、手順や記録を管理することです。
対象になる情報機器には、次のようなものがあります。
- PC
- サーバ
- スマートフォン
- タブレット
- HDD
- SSD
- USBメモリ
- SDカード
- 複合機
- バックアップ媒体
SG試験では、機器そのものよりも、その機器に情報が残っているか、廃棄の過程で情報漏えいしないかが問われます。
廃棄管理で確認すること
情報機器を廃棄するときは、次の流れで確認すると整理しやすいです。
- 廃棄対象を確認する
- 保存されている情報を確認する
- 消去方法や破壊方法を決める
- 社内ルールに従って処理する
- 外部業者に委託する場合は契約や手順を確認する
- 消去証明書や廃棄証明書を取得する
- 廃棄記録を残す
大切なのは、作業したことを証跡として残すことです。
「消しました」「廃棄しました」だけでは、後から確認できません。
委託先管理とは
委託先管理とは、外部業者に業務を任せるときに、適切に管理することです。
情報機器の廃棄では、廃棄業者やリース会社に機器を渡すことがあります。
このとき、業者に渡した後に情報漏えいが起きても、自社の責任が問われる場合があります。
そのため、次のような確認が重要です。
| 確認項目 | 内容 |
|---|---|
| 契約 | 廃棄・消去・秘密保持の条件を明確にする |
| 作業手順 | どの方法で消去・破壊するか確認する |
| 管理体制 | 作業場所、担当者、保管方法を確認する |
| 記録 | 作業結果を証明できる書類を受け取る |
| 再委託 | 別業者へ再委託される場合の管理を確認する |
SG試験では、外部業者に渡す=終わりではなく、委託先を管理する必要があると判断しましょう。
消去証明書とは
消去証明書とは、記憶媒体のデータ消去や物理破壊を実施したことを示す証明書です。
証明書には、一般的に次のような情報が記載されます。
- 対象機器
- 記憶媒体の識別情報
- 消去または破壊の方法
- 実施日
- 実施業者
- 作業結果
消去証明書は、情報漏えいを完全に防ぐ魔法の書類ではありません。
しかし、決められた手順で処理したことを後から確認するための証跡になります。
SG試験では、消去証明書は、技術対策ではなく、管理策・証跡管理として押さえると分かりやすいです。
廃棄記録とは
廃棄記録とは、どの情報機器を、いつ、どの方法で処理したかを残す記録です。
たとえば、次のような内容を記録します。
- 機器名
- 管理番号
- 所有部署
- 廃棄日
- 廃棄理由
- データ消去方法
- 物理破壊の有無
- 委託先
- 証明書の有無
廃棄記録は、情報資産管理とつながります。
情報資産台帳に登録されている機器が、廃棄時にきちんと処理されたかを確認できるようにするためです。
どんな場面で使う?
PCを廃棄するとき
PCには、業務ファイル、顧客情報、メール、認証情報などが残っている可能性があります。
廃棄前には、ディスクのデータ消去や物理破壊を行い、処理記録を残します。
リースPCを返却するとき
リースPCを返却するときも、データが残ったまま返却すると情報漏えいにつながります。
返却先が信頼できる場合でも、自社の責任として、消去方法や証明書を確認することが重要です。
複合機を入れ替えるとき
複合機には、印刷・スキャン・FAXなどのデータが内部ストレージに残る場合があります。
PCだけでなく、複合機やネットワーク機器にも情報が残る可能性がある点に注意します。
故障機器を処分するとき
故障して起動しない機器でも、記憶媒体からデータを取り出せる可能性があります。
「故障しているから安全」と判断せず、記憶媒体の破壊や専門業者による処理を検討します。
よくある誤解・混同
誤解1:廃棄業者に渡せば安全である
これは危険です。
外部業者に渡す場合でも、委託先の管理や契約、作業記録の確認が必要です。
業者任せにせず、処理方法と証跡を確認します。
誤解2:消去証明書があれば絶対に安全である
消去証明書は、処理を実施したことを示す証跡です。
ただし、証明書があるだけで安全が保証されるわけではありません。
消去方法が適切か、対象機器が正しいかも確認する必要があります。
誤解3:ファイル削除だけで廃棄してよい
ファイル削除だけでは、実データが残る可能性があります。
廃棄時には、全領域の上書き、専用消去、物理破壊など、復元できない状態にする処理が必要です。
誤解4:壊れた機器なら情報漏えいしない
故障して起動しない機器でも、記憶媒体からデータを取り出される可能性があります。
故障機器も情報資産として扱い、適切に処理します。
誤解5:廃棄記録は不要である
廃棄記録がないと、後から「どの機器をどう処理したか」を確認できません。
情報漏えいが疑われたときにも、説明や確認が難しくなります。
SG試験での判断ポイント
情報機器の廃棄管理では、次の観点で選択肢を切り分けると判断しやすくなります。
正解に近い表現
- 廃棄前にデータを復元できない状態にする
- 委託先の管理体制を確認する
- 秘密保持や処理方法を契約で明確にする
- 消去証明書を取得する
- 廃棄記録を残す
- 情報資産台帳と照合する
- 再委託の有無や管理方法を確認する
特に、処理方法を確認し、証跡を残すという表現は正解に近いです。
誤りを切る表現
| 表現 | 切り分け |
|---|---|
| 業者に渡せばよい | 委託先管理が不足している |
| ファイルを削除して廃棄する | 実データが残る可能性がある |
| フォーマットだけで返却する | 復元できる場合がある |
| 記録は残さない | 後から確認できない |
| 故障しているのでそのまま廃棄する | データを取り出される可能性がある |
| 証明書だけ確認すればよい | 消去方法や対象機器の確認も必要 |
SG試験では、廃棄処理そのものと廃棄を管理する仕組みをセットで考えましょう。
ミニ問題
機密情報を保存していたPCを外部業者に委託して廃棄する場合の対応として、最も適切なものはどれか。
ア PCを外部業者に引き渡した時点で、自社での管理は終了する。
イ ファイルをごみ箱から削除してから、廃棄業者に引き渡す。
ウ 消去・破壊方法を確認し、処理結果を示す証明書や廃棄記録を残す。
エ 故障して起動しないPCは、データを読めないためそのまま廃棄する。
回答と解説
正解は、ウです。 情報機器を外部業者に委託して廃棄する場合は、業者に任せきりにせず、消去方法や破壊方法を確認し、証明書や廃棄記録を残すことが重要です。 - ア:外部業者に渡しても、委託先管理は必要です。 - イ:ファイル削除だけでは、実データが残る可能性があります。 - エ:故障して起動しないPCでも、記憶媒体からデータを取り出される可能性があります。 SG試験では、**廃棄管理=データ消去+委託先管理+証跡**と考えると判断しやすくなります。まとめ(試験直前用)
情報機器の廃棄管理では、情報機器を安全に処理し、その処理を確認・記録することが重要です。
試験直前には、次の3点を押さえておきましょう。
- 廃棄前に、データを復元できない状態にする
- 外部業者に委託する場合は、契約・手順・管理体制を確認する
- 消去証明書や廃棄記録を残し、後から確認できるようにする
SG試験では、業者に渡したかではなく、安全に処理したことを確認できるかを見ます。
情報機器の廃棄管理=消去・委託先管理・証跡管理のセットと覚えると、選択肢を切り分けやすくなります。