マイナンバーのデータを復元できないように消去する方法とは？

マイナンバー制度の導入に向け、政官業各方面の動きに慌ただしさが増して いる。日本年金機構からの個人情報流出の及ぼす影響が懸念されたりもしてい るが、新制度のスタート時期が間近に迫っているのは間違いない。そんななか、 「新制度が新市場を創造する」と見て、マイナンバー対応製品・サービスを開発 して世に出す企業が少なくない。

ＡＯＳリーガルテックもその一社。同社では「データ復元ソフトのマーケットを創ったように、マイナン バー対応のファイル消去ソフトで新たな市場を立ち上げる」と腕を ならしている。

「データの復元と消去は矛と盾の関係。復元の仕方が分からないと消し方も 分からない」。佐々木社長はデータ復元・復旧で積み上げた知識やノウハウが、 マイナンバー対応のデータ消去ソフト／サービスに大いに生きると説明する。

マイナンバー制度で、企業・団体には、例えば、退職者が生じたらそのマイナン バーを速やかに削除することが義務付けられ、仮に削除が不完全で、そこから 情報が漏洩した場合、かなりの厳罰に処せられるといったリスクが伴う。復元・ 復旧のプロ中のプロが、消去・削除の舞台でも大活躍しそうだ。

法令で定められた保存期間を経過したマイナンバーは、速やかに廃棄・削除が義務付けられています。ファイリングされた書類であれば、シュレッダーなどで、復元できないように廃棄、データであれば、電子データシュレッダーで復元不可能なレベルでデータ消去など、漏えい対策に備えたマイナンバーの廃棄・消去の仕組みが必要です。

マイナンバーの漏洩を防ぐためには、従業員から、マイナンバー情報を収集した後。個人情報カードのコピーは、マイナンバーを従業員名簿等に記載したら、必ずシュレッダーにかけましょう。

同じようにマイナンバーの入ったメール、または、USBメモリは、電子データシュレッダーで必ず、消去しましょう。個人情報カードの写真データも同様に、電子データシュレッダーで消去する必要があります。

ハードディスクのデータは本に例えると「目次」と「本文」の2つの領域から成り立っており、その2つがリンクすることにより読めるようになっています。通常、PCなどのゴミ箱での削除や初期化では、実際は上記の「本文」にあたるデータ自体は消し去られておらず、「目次」にあたる部分だけが消えたに過ぎません。そのような形で削除されたデータは、市販のデータ復元ソフトなどで復元することが可能なのです。

専用ソフトウェアを使用したデータ上書き消去では、「目次」と「本文」双方に該当する全領域のデータ自体を上書きしてしまうため、市販のデータ復元ソフトでも復元することができません。よって基本的にデータ上書き消去が使える機器・電子媒体についてはこれだけでマイナンバーは復元不可能となり、ガイドラインの要件を満たします。

自社ですべてを完結するのはIT機器管理部門の本来業務に費やすべき時間が割かれ、また専用装置の購入なども含む負担が大きいことから、データ消去のみ自社内で行い処分を外部委託するか、データ消去から処分までを全て外部委託されるかのどちらかの企業がほとんどです。その際の委託先の業者には廃棄業者、リサイクル業者、リユース業者等があります。もちろんそれらを兼ねている業者もありますが、いずれにしろ言うまでもなく、選定のポイントとして重要なのはマイナンバーを含む情報の漏洩リスクがいかに少ないかということです。

具体的には、（a）情報機器についての専門知識、（b）データ消去の完全性、（c）作業を行う工場のセキュリティレベル、（d）機器搬送時の安全性、（e）社内体制・内部統制、（f）社員教育、等を満たしていることが挙げられます。

皆様は、業者選定の際、これらのポイントをどこまでチェックされていますでしょうか。手間を考えて、IT機器担者様の判断で出入りの業者に簡単に依頼しがちではありますが、そこには経営を揺るがし兼ねない大きな漏洩リスクが潜んでいるのです。