データ消去証明書とは、パソコンなどの記憶媒体(HDD・SSD等)のデータが確実に消去されたことを証明するもの。ここでは、データ消去証明書の必要性と、証明書がない場合のリスクについて解説していきます。
このページでわかること
PCの廃棄やリース返却において、口頭の約束や自己申告では不十分な「消去の事実」を、法的に有効な証跡として形に残すための知識と発行フローをまとめました。
データ消去証明書とは、文字通り廃棄した記憶媒体(HDD/SSDなど)のデータを、適切な方法で消去したことを証明するものです。
データ消去に関する証明書は大きく分けて2種類で、データ消去業者から発行される作業証明書と、ADEC(データ適正消去実行証明協議会)が発行するデータ適正消去実行証明書があります。
データ適正消去実行証明書とは、ADECまたは同会から消去技術認証を取得しているソフトウェアで消去を行ったことを証明するもので、誰にでも発行ができるものではありません。
発行することで、適切な方法でデータ消去を行えたことへの安心感はもちろん、対外的に信頼を得ることにも繋がるといえるでしょう。
適切な方法でデータ消去を実施したことを証明するデータ消去証明書ですが、実施する消去方法によって内容や写真の有無などに違いはあるものの、主に以下の内容が記載されています。
データ消去証明書が作られるようになったのは、過去、データ消去に関するトラブルが実際にあったためです。
たとえデータを消去したと他者から言われても、それが復元できないほど完全な状態であるかどうかは確認しないことにはわかりません。
時には悪意を持った業者がデータ消去だと偽って、情報の漏洩を目的にソフトやハードを収集しているというケースも考えられます。
また、マイナンバー制度の導入もデータ消去証明書発行に大きな影響を与えました。
マイナンバーを保管している事業者には、その管理責任が発生します。事業者が保管しているマイナンバーの情報が流出してしまうと、罰則の対象となることから、一層厳重なデータ管理が必要になります。
2020年12月に総務省はセキュリティポリシーのガイドラインを改定し、データ消去証明書を求めるようになりました。
その背景には、2019年に神奈川県県で発生した、大規模な情報漏洩の事件があります。
事件発生の要因として、リース返却前のHDDに対して初期化のみでデータ消去を行っており、結果データを復元されてしまい情報が流出してしまったのです。
以降、データを適切に消去しているのか証明できるデータ消去証明書が求められるようになったのです。
データ消去証明書は誰にでも発行できるものではなく、専門業者に作業を依頼したことが保証されるものでもあります。
万が一、処理した情報が流出してしまった場合でも、証明書によって自分の身を守ることにも役立つでしょう。
データ消去証明書は、データの消去に成功した場合に発行される証明書です。
こちらを発行してもらえることで、完全にデータが消去されたことを証明できるので、依頼者が安心できます。
また、法人の場合には、適切に情報処理を行っていることを対外的にアピールできるので、企業としての信頼性の獲得に繋がることでしょう。
どのような形でデータ消去を行ったとしても、確実に消去されているかどうかを判別するのは困難。つまり、第三者機関からのデータ証明書がなければ、確実に消去が行われたことを証明できないのです。
証明書がない状態で廃棄したはずのHDDからデータが流出した場合、企業の責任を問われることになります。たとえ口頭で「データ消去を行った」と言っても、それを証明するものがなければ、信用性にも欠けるでしょう。しかし、データ消去証明書があれば確実に消去が行われたという証拠となるため、万が一データ流出が起きても、そのHDDが原因ではないと断言できます。
データ消去証明書は、消去事業者の要請によって「ADEC(データ適正消去実行証明協議会)」という機関が発行しています。データ消去を業者に依頼するときに、証明書の発行を同時に依頼してください。依頼の際、多くの業者では「データ消去証明書発行依頼書」が必要です。データ消去が完了してから証明書の依頼をしても、対応してもらえないこともあるので注意しましょう。あとから対応してくれる業者の場合でも、データ消去と同時に依頼したほうがスムーズです。
消去事業者は、登録用QRコードを表示して、バーコードリーダーでスキャンしたPC情報を登録・認証サイトに送信。消去完了後に表示されるQRコードをスキャンして完了通知を送信するという流れで証明書発行します。
トラブル防止のために重要なデータ消去証明書ですが、何が記載されているのでしょうか?データ消去証明書には、次のような内容が記載されています。
「どこで、どのような方法で、何を消去して、どうなった」という内容が分かるようになっています。複数の記憶媒体をまとめて処分した場合は、証明書を1つにまとめることも可能です。また、1台ずつ証明書を発行することもできます。
データ消去証明書にかかる費用は、有料と無料のところがあるなど、業者ごとに異なっています。
無料の場合は、データ消去を依頼するとサービスでデータ消去証明書で発行してくれます。
有料の場合に多いのが、データ消去証明書がオプション扱いになっている場合です。
また、その有料のデータ消去証明書も、ADEC認証・ADEC名義などの種類によって、1000円台から7000円台と費用に差が見られることがあります。
ただ、概ねの相場では2,000円から5,000円というところが多いようです。
ADEC(データ適正消去実行証明協議会)とは、データの適正な消去のあり方を調査・研究している第三者機関です。
当会ではNIST(米国国立標準技術研究所)の規定されたデータ抹消手法を解説している「データ消去技術ガイドブック」を公表しており、世界水準のデータ消去が行われたことを証明可能です。
データ消去事業者が独自で発行している証明書よりも信頼性が高く、規定が明確だからこそデータ消去を任せることができるといえるでしょう。
データ消去ソフトや専門業者への依頼など、データ消去を実施するにはさまざまな方法があります。
しかし、何事にも絶対はないように、データ消去を行ったからといって情報漏洩のリスクは消えません。
「データ消去作業証明書」を発行してくれるような、信頼できる業者に依頼することで、漏洩リスクに備えることは可能です。
当サイトでは信頼できる業者を3社紹介しているので、業者選びに悩んだらぜひそちらもチェックしてみてください。
A. 法令上「必ず証明書を取らなければならない」と一律に決まっているわけではありませんが、法人・自治体・教育機関などでは実務上ほぼ必須と考えた方が安全です。理由は、廃棄・返却・譲渡の後にトラブルが起きた際、社内で「消去したつもり」「初期化した」という説明だけでは、第三者に対して適正処理を示せないためです。
監査対応(ISMS/プライバシーマーク更新等)や取引先要件で証跡提示を求められるケースも多く、証明書があることで「いつ・どの機器を・どの方式で消去したか」を客観的に説明できます。特にリース返却や二次流通(下取り・買取)に出す場合は、証明書の有無で安全性と説明力が大きく変わります。
A. 大きな違いは「第三者性」と「対外的な説明力」です。業者発行の作業証明書は、消去作業を実施した事業者が自社の責任で発行するもので、台数が多い案件でも柔軟に対応しやすい一方、証跡の強さは業者の運用品質(ログ・台帳・写真・責任者署名など)に左右されます。
一方でADEC名義の証明書は、ADECまたは同会の技術認証を取得したソフトウェア等で消去したことを示す形式で、第三者認証に基づく説明がしやすい点が特徴です。入札要件や厳格な監査案件では「ADEC名義」「第三者認証」などが指定されることもあるため、求められる基準に応じて選択するとよいでしょう。
A. 証明書は非常に強力な防御資料になりますが、自動的に免責が確定するわけではありません。ただし、証明書には機器のシリアルや消去方式、作業日時などが記載されるため、「適正な手続を踏んだ」「管理責任を果たす努力をした」ことを示す客観的資料として機能します。
とくに、事故発生時に問われやすいのは「適切な安全管理措置を講じていたか」という点です。証明書がない場合、説明が口頭や社内メモに留まり、責任の所在が曖昧になりがちです。証明書があることで、社内外への説明責任や調査対応がスムーズになり、結果として被害の拡大・信用低下を抑えやすくなります。
A. 写真は「破壊を実施した」ことを直感的に示せるため有効ですが、証跡として強くするにはシリアル一致とログ(台帳)のひも付けが重要です。写真だけだと「その写真が自社の媒体である」ことを第三者に説明しづらい場合があり、台数が多い案件ほど取り違えのリスクも増えます。
実務では、(1)資産台帳(型番・S/N)→(2)消去ログ(方式・結果)→(3)証明書(発行番号・担当者・日時)をセットで管理し、必要に応じて写真や動画を付ける運用が安心です。特に監査・取引先提示を想定する場合は、「誰が見ても追跡できる形」で残すことがポイントになります。
A. 最も確実なのはデータ消去の依頼時(見積・契約段階)に同時に証明書発行を指定することです。証明書は消去作業の記録(ログ取得・写真撮影・S/N登録など)と一体で設計されるため、後から「やっぱり証明書が欲しい」となっても、必要な証跡が不足して発行できない/追加費用や追加工程が発生する可能性があります。
依頼時に確認すべき点は、(1)媒体単位で証明できるか(S/N単位か一括か)、(2)消去方式の明記(DoD/NIST/物理/電磁等)、(3)電子証明(PDF/QR)や再発行可否、(4)台帳とのひも付け方法、の4点です。特にリース返却期限がある場合は、発行までのリードタイムも含めて早めに手配しておくと安心です。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||