PCやHDD、SSD、NASなどを廃棄・返却・売却する際、データ消去を業者に依頼すると「データ消去証明書」が発行されることがあります。
データ消去証明書は、対象機器や記憶媒体に対して、どのような方法でデータ消去を行ったかを示す重要な証跡です。法人では、社内報告、監査、取引先への説明、情報漏えい対策の記録として活用されることもあります。
ただし、証明書が発行されていれば必ず十分というわけではありません。対象機器を特定できない、消去方法が分からない、シリアル番号が記載されていない、台帳と紐づけられないといった場合、後から確認が難しくなることがあります。
このページでわかること
データ消去証明書は、発行されているかだけでなく、必要な情報が記載されているか、後から台帳と照合できるかを確認することが重要です。
このページでは、データ消去証明書を受け取った際に確認すべき記載項目、見方、保管時の注意点を解説します。
データ消去証明書とは、PCやHDD、SSDなどの記憶媒体に対して、データ消去作業を実施したことを示す書類です。
業者にデータ消去を依頼した場合、作業完了後に発行されることがあり、対象機器や消去方法、作業日などを確認するための証跡として使われます。
データ消去証明書には、一般的に以下のような情報が記載されます。
企業がPCやHDDを廃棄する際、単に「消去しました」と口頭で説明するだけでは、後から確認することが難しくなります。証明書があれば、消去作業を実施した記録として残せるため、社内外への説明材料になります。
ただし、証明書の形式や記載項目は業者によって異なります。そのため、証明書が発行されるかどうかだけでなく、必要な情報が記載されているかを確認することが重要です。
法人でデータ消去証明書が必要になる場面は少なくありません。
たとえば、以下のような用途があります。
| 用途 | 証明書が役立つ理由 |
|---|---|
| 社内のIT資産管理 | どの端末を処理したか確認できる |
| 監査対応 | データ消去の実施記録として提示できる |
| 情報セキュリティ対策 | 情報漏えい対策を行った証跡になる |
| リース返却 | 返却前に消去したことを記録できる |
| 取引先・親会社への説明 | 委託先や関係会社に処理状況を説明しやすい |
| 官公庁・医療・金融などの管理 | 機密情報や個人情報の取り扱い記録として保管できる |
特に、個人情報や機密情報を扱う企業・団体では、PCやHDDを処分した後に「本当にデータを消去したのか」を説明できる状態にしておくことが重要です。
データ消去証明書は重要な書類ですが、発行されていれば安心というわけではありません。
たとえば、証明書に「PC一式を消去」としか書かれていない場合、どの端末を処理したのかが分かりにくくなります。また、資産番号やシリアル番号が記載されていないと、社内台帳と照合できない場合があります。
特に、大量のPCを処理した場合や、サーバー・NASなど複数のHDDやSSDを搭載した機器を処理した場合は、個別に対象を確認できることが重要です。
証明書を受け取ったら、単に保管するだけでなく、必要な項目が記載されているかを確認しましょう。
データ消去証明書を受け取ったら、まず「いつ・どの機器に・どの方法で・誰が作業したのか」が分かるかを確認しましょう。
ここでは、証明書で確認すべき基本項目を紹介します。
作業日は、データ消去がいつ実施されたかを確認する項目です。
PCやHDDを廃棄・返却・売却する場合、消去作業が外部への引き渡し前に行われているかを確認する必要があります。
たとえば、以下のような日付の前後関係を確認しましょう。
データ消去前に外部へ引き渡されていた場合、運搬中や保管中にデータが残っていた可能性があります。作業日が空欄だったり、日付が不明確だったりする証明書は、後から説明しにくくなるため注意が必要です。
証明書には、何を消去したのかが分かる情報が必要です。
対象機器や媒体には、以下のようなものがあります。
ここで重要なのは、PC本体を消去した証明なのか、取り外したHDDやSSDを消去した証明なのかを確認することです。
たとえば、サーバーやNASでは、1台の機器に複数のHDDやSSDが搭載されていることがあります。その場合、機器本体の情報だけではなく、内部媒体ごとの記載が必要になることがあります。
企業では、PCやサーバーなどを資産番号や管理番号で管理していることが多くあります。
証明書に資産番号が記載されていれば、社内のIT資産台帳と照合しやすくなります。
反対に、資産番号が記載されていない場合、同じ機種が複数台あると、どの端末を消去した証明書なのか分からなくなる可能性があります。
大量PCの入れ替えやリース返却では、資産番号の記載が特に重要です。証明書に資産番号を入れたい場合は、依頼前に業者へ伝えておくとよいでしょう。
シリアル番号は、機器や記憶媒体を個別に特定するための番号です。
資産番号は社内で付与する管理番号ですが、シリアル番号はメーカーや製品側で付与されていることが多く、客観的な個体識別に使いやすい情報です。
特に以下のような場合は、シリアル番号の記載が重要になります。
HDDやSSD単位で証明書を管理する場合は、媒体そのもののシリアル番号が記載されているかを確認しましょう。
証明書では、どの方法でデータ消去を行ったかを確認します。
主な消去方法には、以下があります。
消去方法は、対象機器や処理目的に合っている必要があります。
たとえば、再利用するPCであれば上書き消去が候補になります。廃棄予定のHDDであれば、磁気消去や物理破壊が選ばれることがあります。一方、SSDはHDDと記録方式が異なるため、磁気消去は適していません。
証明書に「データ消去済み」とだけ書かれていて、具体的な方法が分からない場合は、業者に確認しましょう。
証明書には、作業場所が記載されている場合があります。
作業場所には、以下のようなパターンがあります。
作業場所が分かると、媒体を外部へ持ち出したのか、自社内で処理したのかを確認しやすくなります。
顧客情報や個人情報など機密性の高いデータを含む媒体では、オンサイトで処理されたかどうかが重要になる場合があります。
証明書では、どの会社が作業したのかも確認しましょう。
契約先と実際の作業会社が異なる場合や、再委託が行われる場合もあります。問い合わせや再発行が必要になった際にも、作業会社の情報は重要です。
確認したい点は以下の通りです。
委託先の管理体制を確認するうえでも、作業会社の記載は重要です。
証明書番号は、証明書を管理・検索するための番号です。
大量の証明書を保管する場合、証明書番号があると、IT資産台帳や作業一覧と紐づけやすくなります。また、再発行や問い合わせを行う際にも、証明書番号があるとスムーズです。
証明書番号がない場合、ファイル名や資産番号で代替管理する必要があります。可能であれば、証明書番号を台帳に記録しておきましょう。
データ消去証明書では、消去方法ごとに確認すべきポイントが異なります。
上書き消去、磁気消去、物理破壊、暗号化消去では、記録として残すべき情報が変わるため、それぞれの見方を押さえておきましょう。
上書き消去は、専用ソフトなどを使い、記憶領域に別のデータを書き込むことで、元のデータを読み取れない状態にする方法です。
上書き消去の証明書では、以下の項目を確認しましょう。
上書き消去は、再利用やリース返却の場面で使われることがあります。そのため、消去が正常に完了したかどうかを示すログがあると安心です。
また、HDDとSSDでは消去方法が異なる場合があります。SSDを上書き消去した場合は、SSD対応の方法で実施されているかも確認しましょう。
磁気消去は、強力な磁気を使ってHDD内のデータを読み取れない状態にする方法です。
磁気消去の証明書では、以下を確認しましょう。
磁気消去はHDD向けの方法であり、SSDやUSBメモリなどのフラッシュ媒体には適していません。証明書に磁気消去と記載されている場合は、対象媒体がHDDであるかを確認しましょう。
また、磁気消去後のHDDは基本的に再利用できません。リース返却や再利用予定の端末で磁気消去が選ばれていないかも確認しておくと安心です。
物理破壊は、HDDやSSDなどの記憶媒体を、穴あけ・破砕・細断などによって物理的に壊す方法です。
物理破壊の証明書では、以下を確認しましょう。
HDDであればディスク部分を破壊しているか、SSDであればメモリチップ部分を破壊できているかが重要です。
物理破壊の場合、破壊後写真があると作業状況を確認しやすくなります。写真が必須とは限りませんが、監査や社内報告で確認材料が必要な場合は、写真付きの証明書を依頼できるか確認しておくとよいでしょう。
暗号化消去は、事前に暗号化されたデータに対して、暗号鍵を破棄することでデータを読めない状態にする考え方です。
暗号化消去の証明書や記録では、以下を確認しましょう。
暗号化消去は、運用状況や社内ポリシーによって扱いが変わる場合があります。証明書だけでなく、暗号化が適切に実施されていたことや、鍵管理が適切だったことを説明できる状態にしておくことが大切です。
データ消去証明書では、発行単位も重要です。
証明書には、端末単位、媒体単位、一括証明書などの形式があります。どの形式が適しているかは、対象機器や社内の管理方法によって異なります。
端末単位の証明書は、PC1台ごとにデータ消去を証明する形式です。
PCの入れ替えやリース返却では、端末単位の証明書が使いやすい場合があります。資産番号やシリアル番号と紐づけることで、どのPCを消去したのかを確認しやすくなります。
端末単位の証明書で確認したい項目は以下の通りです。
大量台数の場合は、個別証明書だけでなく、端末一覧データも受け取れると管理しやすくなります。
媒体単位の証明書は、HDD、SSD、USBメモリなど、記憶媒体ごとに消去を証明する形式です。
サーバーやNASのように複数のHDDやSSDを搭載している機器では、媒体単位の証明が特に重要です。
たとえば、NAS本体の証明書だけでは、内部のどのHDDを処理したのかが分かりにくい場合があります。媒体単位であれば、HDDやSSDのシリアル番号ごとに処理状況を確認できます。
媒体単位の証明書で確認したい項目は以下の通りです。
一括証明書は、複数台・複数媒体をまとめて処理したことを示す証明書です。
一括証明書は管理が簡単な一方で、個別端末や媒体の確認がしにくい場合があります。
たとえば、「PC50台を消去」とだけ書かれている場合、どのPCが対象だったのか、資産台帳と照合できないことがあります。
一括証明書を受け取る場合は、内訳一覧が添付されているかを確認しましょう。内訳一覧には、資産番号、シリアル番号、機器名、消去方法などが記載されていると管理しやすくなります。
証明書の発行単位は、業者に依頼する前に決めておくことが大切です。
| 処理対象・目的 | 適した証明書形式 |
|---|---|
| PC廃棄・PC入れ替え | 端末単位、端末一覧付き |
| リース返却 | 端末単位、資産番号・シリアル番号付き |
| サーバー・NAS | 媒体単位、ディスク一覧付き |
| HDD・SSD単体処理 | 媒体単位 |
| 物理破壊 | 媒体単位、写真付き |
| 大量台数 | 一括証明書+内訳一覧 |
| 監査対応 | 資産台帳と照合できる形式 |
自社の監査要件や社内管理方法に合わせて、必要な形式を業者へ伝えておきましょう。
データ消去証明書は、受け取って保管するだけでは十分ではありません。
必要なときにすぐ確認できるよう、IT資産台帳や管理表と紐づけておくことが重要です。
IT資産台帳には、証明書と照合できる情報を記録しておきましょう。
| 台帳項目 | 内容 |
|---|---|
| 資産番号 | 社内管理番号 |
| シリアル番号 | 機器・媒体の識別番号 |
| 機器種別 | PC、HDD、SSD、NASなど |
| 利用部署 | どの部署で使われていたか |
| 処理区分 | 廃棄、返却、再利用など |
| 消去方法 | 上書き、磁気、物理破壊など |
| 作業日 | データ消去を実施した日 |
| 証明書番号 | 証明書と照合するため |
| 保管場所 | 証明書データの保管先 |
| 処理ステータス | 消去済み、廃棄済み、返却済みなど |
このような項目を記録しておくことで、後から「この端末は消去済みか」「証明書はどこにあるか」を確認しやすくなります。
データ消去証明書はPDFで発行されることが多いですが、大量端末の場合は一覧データもあると便利です。
PDFは証明書として保管しやすい一方で、検索や台帳連携には向かない場合があります。CSVやExcel形式の一覧データがあれば、社内のIT資産管理表に取り込みやすくなります。
大量PCの入れ替えや複数拠点の端末処理では、以下のような管理ができると便利です。
証明書を依頼する際は、PDFだけでなく、一覧データで受け取れるかも確認しておきましょう。
データ消去証明書は、必要なときに確認できるよう、保管期間と管理責任者を決めておくことが大切です。
保管期間は、社内規程や監査要件、契約条件に合わせて決めましょう。総務部門、情シス部門、監査部門など、どの部門が保管・管理するのかも明確にしておくと安心です。
また、証明書を保管する場所も決めておきましょう。
証明書を複数の場所に分散して保管すると、後から探しにくくなる場合があります。管理ルールを決めて、必要なときにすぐ確認できる状態にしましょう。
データ消去証明書を受け取った際には、不備や確認漏れがないかチェックすることが重要です。
ここでは、特に注意したいポイントを紹介します。
証明書に対象機器を特定する情報が不足していると、後から確認できなくなる可能性があります。
たとえば、以下のような記載には注意が必要です。
このような記載だけでは、どの端末や媒体を処理したのか判断しにくくなります。
資産番号、シリアル番号、機器名、媒体種別などが記載されているか確認しましょう。
証明書に「データ消去済み」とだけ書かれていて、具体的な消去方法が分からない場合があります。
消去方法が分からないと、対象媒体や処理目的に合った方法だったかを確認できません。
特に以下の点に注意しましょう。
SSDに磁気消去が使われていないか、再利用予定の端末に物理破壊が行われていないかなど、消去方法と目的が合っているかも確認が必要です。
証明書に作業日や作業場所が記載されていないと、いつどこで消去されたかを確認できません。
作業日は、廃棄・返却・売却の前に消去が完了しているかを確認するために重要です。
作業場所は、オンサイトで処理されたのか、業者施設へ持ち出して処理されたのかを確認するために役立ちます。
機密情報を含む媒体では、外部持ち出しの有無が重要になることがあります。作業場所の記載がない場合は、業者へ確認しておきましょう。
消去方法によっては、写真やログがあると作業実態を確認しやすくなります。
たとえば、物理破壊では破壊後写真、上書き消去では消去ログが確認材料になります。
以下のような場合は、追加資料を確認できるか業者に相談しましょう。
写真やログが必ず必要とは限りませんが、監査や社内報告で説明が必要な場合は、記録があると安心です。
大量PCや複数HDDを処理した場合、一括証明書だけが発行されることがあります。
一括証明書は便利ですが、内訳がないと個別端末を確認できません。
たとえば、「PC50台を消去」とだけ記載されていても、どの資産番号・シリアル番号のPCが対象だったのか分からない場合があります。
大量台数を処理する場合は、一括証明書に加えて、内訳一覧を受け取れるか確認しましょう。
データ消去証明書を受け取ったら、以下の項目を確認しましょう。
| チェック項目 | 確認内容 |
|---|---|
| 作業日が記載されているか | 廃棄・返却前に消去されたか |
| 対象機器が分かるか | PC、HDD、SSDなど |
| 資産番号が記載されているか | 社内台帳と照合できるか |
| シリアル番号が記載されているか | 個体識別できるか |
| 消去方法が明記されているか | 上書き、磁気、物理破壊など |
| 作業場所が分かるか | オンサイト・オフサイトなど |
| 作業会社が分かるか | 実施業者を確認できるか |
| 証明書番号があるか | 管理・再発行に使えるか |
| 写真・ログが添付されているか | 作業実態を確認できるか |
| 台帳と紐づけたか | 監査・社内報告に備える |
証明書に不備がある場合は、時間が経ってからでは確認が難しくなることがあります。受け取った時点で内容を確認し、不明点があれば早めに業者へ問い合わせましょう。
データ消去証明書の内容は、業者や依頼内容によって異なります。
後から「必要な項目が記載されていなかった」とならないよう、依頼前に証明書の内容を確認しておきましょう。
業者へ依頼する前に、証明書サンプルを確認できるか聞いてみましょう。
サンプルを見ることで、以下を確認できます。
証明書の形式が自社の管理方法に合わない場合は、事前に必要項目を相談しておくことが大切です。
証明書に記載したい項目がある場合は、依頼前に業者へ伝えておきましょう。
たとえば、以下のような項目です。
業者によっては、標準フォーマットでは対応できない項目がある場合もあります。必要項目を指定できるか、追加費用が発生するかを確認しておきましょう。
大量台数のデータ消去では、証明書PDFだけでなく、CSVやExcel形式の一覧データがあると管理しやすくなります。
一覧データがあれば、資産台帳やIT資産管理システムに取り込みやすく、検索や照合もしやすくなります。
特に、以下のような場合は一覧データの有無を確認しましょう。
証明書を紛失した場合や、後から再提出が必要になった場合に備えて、再発行できるかも確認しておきましょう。
確認したい点は以下の通りです。
証明書は監査や社内確認で後から必要になることがあります。再発行の可否も、業者選定時の確認ポイントになります。
データ消去証明書は、発行されて終わりではありません。必要なときに見つけられ、内容を確認できる状態で保管しておくことが重要です。
特に法人では、以下のような場面で証明書が必要になる可能性があります。
証明書を管理する際は、以下の点を意識しましょう。
データ消去証明書は、情報漏えいリスクへの備えだけでなく、企業として適切な処理を行ったことを説明するための重要な資料です。
データ消去証明書は、PCやHDD、SSD、NASなどに対してデータ消去を実施したことを示す重要な証跡です。法人では、社内報告、監査、取引先への説明、情報漏えい対策の記録として活用されることがあります。
ただし、証明書が発行されていれば十分というわけではありません。作業日、対象機器、資産番号、シリアル番号、消去方法、作業場所、作業会社、写真・ログなど、必要な情報が記載されているかを確認することが大切です。
特に、大量PCの入れ替えやサーバー・NASの処理では、端末単位・媒体単位で証明書を管理し、IT資産台帳と紐づけることが重要です。証明書を受け取った後は、必要なときに確認できるよう、PDFやCSV、Excelなどで保管ルールを整えておきましょう。
データ消去を業者へ依頼する場合は、証明書の発行有無だけでなく、記載項目や発行単位、一覧データの有無まで確認できる業者へ相談することをおすすめします。
A. 証明書があるだけでは十分とはいえません。対象機器、資産番号、シリアル番号、消去方法、作業日、作業会社など、後から確認できる情報が記載されているかが重要です。
特に法人では、監査や社内報告で証明書を使うことがあります。証明書を受け取ったら、内容を確認し、IT資産台帳と紐づけて管理しましょう。
A. 作業日、対象機器名、資産番号、シリアル番号、消去方法、作業場所、作業会社、証明書番号を確認しましょう。
物理破壊の場合は破壊後写真、上書き消去の場合は消去ログがあると、作業実態を確認しやすくなります。大量台数を処理する場合は、内訳一覧の有無も重要です。
A. 一括証明書でも管理できる場合はありますが、個別端末や媒体を確認できる内訳一覧があるかを確認しましょう。
「PC50台を消去」とだけ記載されている場合、どの資産番号・シリアル番号の端末が対象だったのか分からないことがあります。監査や台帳管理に備えるなら、一括証明書+内訳一覧の形式が安心です。
A. サーバーやNASは複数のHDDやSSDを搭載していることが多いため、媒体単位で証明できる形式が望ましいです。
本体単位だけでは、内部のどのディスクを処理したのか確認しづらい場合があります。HDD/SSDのシリアル番号、ベイ番号、消去方法、作業日などを媒体単位で管理できるか確認しましょう。
A. PDFなどの証明書データを保管するだけでなく、資産番号・シリアル番号・証明書番号をIT資産台帳と紐づけて管理しましょう。
大量台数の場合は、CSVやExcel形式の一覧データがあると検索や照合がしやすくなります。保管期間、保管場所、管理責任者も社内で決めておくことが大切です。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||