法人がPC、HDD、SSD、NAS、サーバーなどを廃棄・返却・入れ替える際は、データを消去するだけでなく、「消去したことを証明できる状態」にしておくことが重要です。
特に、顧客情報、従業員情報、医療情報、教育関連情報、行政情報、委託業務データなどを扱う場合、データ消去証明書や作業報告書は、社内説明や監査対応のための重要な記録になります。
ただし、証明書があるだけで安心とは限りません。対象媒体、消去方式、作業日、管理番号、作業結果などが記載されているか、また社内の資産管理台帳やリース返却記録と紐づけられるかを確認する必要があります。
この記事では、データ消去証明書や監査対応で確認したいポイントを目的別に整理します。
データ消去証明書とは、対象となるPCやHDD、SSDなどに対して、データ消去作業を実施したことを示す書類です。法人では、PC廃棄やリース返却、監査対応、社内説明、顧客提出資料として使われることがあります。
データ消去証明書には、一般的に「いつ」「どの媒体に対して」「どの方法で」「どの結果になったか」といった情報が記載されます。単にデータを消去したという口頭報告ではなく、書面として残すことで、後から確認しやすくなります。
証明書で確認したい主な項目は以下です。
監査や社内説明で利用する場合は、証明書の有無だけでなく、必要な項目が記載されているかを確認することが大切です。
データ消去に関する書類には、データ消去証明書のほかに、作業報告書、破壊証明書、回収記録、受領書などがあります。それぞれ役割が異なるため、必要に応じて取得しておきましょう。
| 書類 | 主な役割 |
|---|---|
| データ消去証明書 | 対象媒体に対してデータ消去を実施したことを証明する |
| 作業報告書 | 作業内容、作業日、作業場所、実施工程などを記録する |
| 破壊証明書 | HDDやSSDなどを物理的に破壊したことを証明する |
| 回収記録・受領書 | 対象媒体の受け渡しや回収状況を記録する |
証明書は「消去結果」を確認するための書類であり、作業報告書は「どのような作業を行ったか」を確認するための書類です。監査対応では、複数の書類を組み合わせて確認することがあります。
データ消去証明書は、すべてのケースで必須とは限りません。しかし、法人では社内説明や外部提出、監査対応のために必要になる場面があります。
証明書が必要になりやすいケースは以下です。
特に、個人情報や機密情報を含む媒体では、証明書を取得し、社内台帳と照合できる状態にしておくと安心です。
データ消去証明書は、発行されていればよいというものではありません。証明書の内容が不十分だと、後から「どの媒体を消去した証明なのか」「どの方式で処理したのか」が分からなくなる場合があります。
| 記載項目 | 確認する理由 |
|---|---|
| 作業日 | いつ消去したか確認するため |
| 対象媒体 | どのPC・HDD・SSDを消去したか確認するため |
| メーカー・型番 | 媒体を特定するため |
| シリアル番号 | 個体識別に必要 |
| 社内管理番号 | 資産管理台帳と照合するため |
| 消去方式 | 上書き・磁気・物理破壊などを確認するため |
| 作業結果 | 消去完了・破壊完了を確認するため |
| 作業場所 | オンサイトか持ち帰りかを確認するため |
| 証明書番号 | 書類管理・再発行確認のため |
| 写真 | 物理破壊や対象媒体の確認に使える場合がある |
監査対応で重要なのは、証明書に記載された媒体が、社内で管理している端末やHDDと一致しているかを確認できることです。
確認したい項目は以下です。
大量のPCやHDDをまとめて消去する場合、証明書と資産管理台帳を照合できる状態にしておくことが重要です。
データ消去証明書では、どの方法で消去したのかも確認したい項目です。上書き消去、磁気消去、物理破壊など、消去方式によって媒体の再利用可否や証明内容が変わります。
確認したい消去方式は以下です。
たとえば、リース返却や社内再利用を前提とする場合は、媒体を破壊せずに消去する必要があります。一方、再利用しない媒体では、物理破壊や磁気消去が選ばれることもあります。
データ消去証明書は、単体で保管するだけでは不十分な場合があります。証明書に記載された媒体と、社内の資産管理台帳や返却記録、回収記録を紐づけることで、監査時に説明しやすくなります。
大量のPCやHDDを処理する場合、社内管理番号と証明書番号を対応させることが重要です。証明書だけが残っていても、どの端末を消去した証明なのか分からなければ、監査資料として使いにくくなります。
管理時に確認したい項目は以下です。
リースPCを返却する場合は、返却台数、消去対象、証明書番号、返却日をあわせて管理します。返却前に自社側で消去するのか、リース会社側で消去するのか、証明書は誰が発行するのかも確認しておきましょう。
返却記録と証明書を照合できるようにしておくことで、返却後に確認が必要になった場合にも対応しやすくなります。
全国拠点のPCやHDDをまとめてデータ消去する場合は、拠点別に記録を残すことが重要です。本社、支店、営業所、工場、店舗など、複数拠点で作業が発生する場合、拠点ごとの台数や作業日、証明書発行単位を整理しておきましょう。
記録したい項目は以下です。
HDDやSSDを物理破壊する場合は、破壊証明書や写真付きの記録があると、対象媒体を確認しやすくなります。特に、機密性の高い情報を保存していた媒体では、破壊対象が特定できるかを確認しましょう。
写真が必要かどうかは、社内ルールや顧客提出の有無によって異なります。監査で必要になる場合は、事前に業者へ確認しておくと安心です。
データ消去の監査対応では、証明書だけでなく、依頼前、作業中、作業後の記録を一連の流れとして残しておくことが重要です。誰が、なぜ、どの媒体を、どの業者に依頼し、どのような結果になったのかを確認できる状態にしておきましょう。
依頼前には、対象媒体や台数、保存データの種類、委託先選定理由などを整理しておきます。見積や稟議の段階で記録を残しておくことで、後から判断理由を説明しやすくなります。
作業中には、作業日、作業場所、立ち会い者、回収記録、運搬記録などを残しておきます。オンサイト対応の場合は、立ち会い者や作業場所を記録しておくと、社内説明に使いやすくなります。
作業後には、データ消去証明書や作業報告書、破壊証明書、請求書、社内台帳の更新記録を保管します。媒体の廃棄や返却が完了しているかも確認しましょう。
データ消去証明書や作業報告書は、取得して終わりではありません。社内で誰が保管するのか、どこに保存するのか、いつまで保存するのか、誰が閲覧できるのかを決めておく必要があります。
電子データで保管する場合は、ファイル名や保存場所を統一し、案件名や作業日、拠点名などで検索しやすい状態にしておくと便利です。
データ消去証明書を受け取ったら、以下の項目を確認しましょう。証明書の記載内容が不足していると、後から社内説明や監査で確認が必要になった際に困る場合があります。
| 確認項目 | 確認内容 |
|---|---|
| 対象媒体 | PC・HDD・SSDなどが明記されているか |
| 管理番号 | 社内資産番号と照合できるか |
| シリアル番号 | 個体識別できるか |
| 消去方式 | 上書き・磁気・物理破壊などが分かるか |
| 作業日 | 消去実施日が記載されているか |
| 作業場所 | オンサイト・持ち帰りのどちらか分かるか |
| 作業結果 | 消去完了・破壊完了が確認できるか |
| 証明書番号 | 書類管理できる番号があるか |
| 写真 | 対象媒体や破壊状態が確認できるか |
| 発行元 | どの業者が発行したか分かるか |
証明書の記載内容に不足がある場合は、作業報告書や対象媒体一覧とあわせて確認できるかを確認しましょう。
データ消去証明書を取得していても、委託先の管理体制が不十分だと、作業前後のリスクが残る場合があります。データ消去を外部業者へ依頼する場合は、証明書だけでなく、委託先の情報セキュリティ体制や作業管理も確認しましょう。
データ消去では、対象媒体の回収、運搬、保管、作業、証明書発行まで複数の工程があります。証明書が発行される場合でも、運搬中の管理や作業場所での管理が不明確だと、情報漏洩リスクを十分に抑えられない可能性があります。
委託先を確認する際は、情報セキュリティ体制を見ておきましょう。特に、個人情報や機密情報を含む媒体を扱う場合は重要です。
媒体を社外へ出せない場合は、オンサイト対応の可否を確認します。オンサイト対応であれば、自社オフィスや指定場所で作業できるため、輸送中の紛失や盗難リスクを抑えやすくなります。
官公庁、自治体、医療機関、金融機関、大手企業など、持ち出し制限がある組織では、オンサイト対応が重要な選択肢になります。
データ消去業者が作業の一部を別会社へ再委託する場合、再委託先の管理体制や責任範囲も確認が必要です。
確認したい項目は以下です。
委託先管理では、証明書の発行可否だけでなく、どの工程を誰が担当するのかを確認しておくことが大切です。
証明書や監査対応で確認すべきポイントは、業種や利用シーンによって異なります。官公庁・自治体、医療機関、教育機関、BPO企業、大手企業・情シスでは、それぞれ管理すべき情報や証明書の使い方が変わります。
官公庁・自治体では、住民情報や行政文書を扱うPCやHDDを廃棄する場合があります。証明書、作業報告、オンサイト対応、監査記録を確認し、対象媒体ごとに記録を残すことが重要です。
医療機関では、患者情報、検査データ、電子カルテ関連端末など、慎重な取り扱いが必要な情報を含む媒体を廃棄する場合があります。データ消去証明書や作業報告書を取得し、院内で保管できる体制を整えておきましょう。
教育機関では、児童・生徒・学生情報、教職員情報、学習用端末の利用履歴などが端末に残る場合があります。PCやタブレットを廃棄・入れ替える際は、端末ごとの消去状況と証明書を管理しましょう。
BPO企業では、顧客業務で使用した端末や、委託データを扱った媒体の返却・入れ替えが発生する場合があります。顧客提出用の証明書や作業報告書が必要になるケースもあるため、委託元との取り決めも確認しておきましょう。
大手企業や情報システム部門では、大量端末や全国拠点のPC・HDDをまとめて処理することがあります。証明書の一括管理、台帳照合、委託先管理、拠点別の記録整理が重要です。
必ず必要とは限りません。ただし、法人では監査、社内説明、顧客提出、リース返却、官公庁・医療・教育機関での端末廃棄などで必要になることがあります。必要性は自社の管理ルールや提出先の要件に応じて確認しましょう。
対象媒体、管理番号、シリアル番号、消去方式、作業日、作業結果、発行元などが確認できる内容が望ましいです。大量台数の場合は、資産管理台帳と照合できるかも重要です。
データ消去証明書は、データ消去作業を実施したことを示す書類です。一方、破壊証明書は、HDDやSSDなどを物理的に破壊したことを示す書類です。物理破壊を行う場合は、破壊証明書や写真付き記録を確認することがあります。
見積書、作業報告書、データ消去証明書、破壊証明書、回収記録、稟議・承認記録、資産台帳更新記録などを残しておくと確認しやすくなります。
証明書だけでなく、対象媒体一覧、管理番号、作業場所、委託先管理、保管ルールまで確認することが重要です。証明書と媒体を紐づけられない場合、後から監査や社内確認で説明しにくくなることがあります。
データ消去証明書は、法人のデータ消去において重要な証跡となる書類です。ただし、証明書があるだけではなく、対象媒体、管理番号、消去方式、作業日、作業結果、委託先情報が確認できることが重要です。
監査や社内説明に備える場合は、証明書を単体で保管するのではなく、見積書、作業報告書、対象媒体一覧、回収記録、資産管理台帳とあわせて管理しましょう。
データ消去は「作業を完了すること」だけでなく、消去した事実を後から説明できる状態にすることまで含めて考える必要があります。証明書・作業報告・媒体管理をセットで確認し、情報漏洩リスクと監査対応の不安を減らしましょう。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||