大手企業の情報システム部門では、PC入れ替え、リースPC返却、拠点統廃合、サーバー更新、NAS廃棄などのタイミングで、大量の端末や記憶媒体をまとめてデータ消去する必要があります。
対象となる媒体には、PC、HDD、SSD、NAS、サーバー、外付けHDD、USBメモリーなどが含まれます。これらには、顧客情報、従業員情報、契約書、会計データ、設計データ、営業資料、業務システムの出力データなどが保存されている場合があります。
大手企業では、単にデータを消すだけでなく、端末台帳との照合、データ消去証明書の取得、全国拠点での作業管理、オンサイト対応、委託先・再委託先の管理、監査対応まで考える必要があります。
このページでは、大手企業の情シス部門がデータ消去を外部委託する際に確認したいポイントを整理します。
大手企業のデータ消去では、対象となる端末や媒体が多く、拠点や部署も分散していることがあります。そのため、作業を業者に依頼する前に、対象範囲、処理目的、保存データ、必要書類を整理しておくことが重要です。
まず、データ消去の対象となる端末や媒体を洗い出します。社員用PCだけでなく、共有PC、退職者端末、外付けHDD、NAS、サーバーなども対象になる場合があります。
確認したい対象は以下です。
特に、部署や拠点で個別に保管されている旧端末や予備機、故障端末は見落とされやすいため注意しましょう。
同じデータ消去でも、廃棄、リース返却、社内再利用、売却、拠点閉鎖、端末入れ替えなど、目的によって必要な消去方法や証明書の内容が変わります。
主な目的は以下です。
たとえば、リースPC返却では端末を破壊できない場合があり、社内再利用では媒体を残したままデータを消去する必要があります。一方、再利用しないHDDでは、物理破壊や磁気消去を検討することがあります。
データ消去の対象媒体には、個人情報や機密情報が保存されている場合があります。保存データの内容によって、必要なセキュリティ水準や証明書の重要性が変わるため、事前に確認しておきましょう。
保存されている可能性がある情報は以下です。
機密性の高い情報が含まれる場合は、オンサイト対応や証明書の取得、委託先の情報セキュリティ体制まで確認することが重要です。
大手企業では、数十台から数百台規模でPCやHDDを処理することがあります。対象台数が多いほど、消去漏れや証明書の紐づけ漏れ、拠点ごとの進捗管理の不備が起こりやすくなります。
大量端末のデータ消去では、対象PCをすべて把握できているかが重要です。資産管理台帳に登録されている端末と、実際に拠点や部署で保管されている端末が一致しないこともあります。
起こりやすい課題は以下です。
作業前に、台帳、現物、回収状況、消去ステータスを照合できるようにしておきましょう。
大手企業の環境では、HDD搭載PC、SSD搭載PC、NAS、サーバー、外付けHDDなどが混在していることがあります。媒体ごとに適した消去方法が異なるため、すべてを同じ方法で処理できるとは限りません。
SSD対応の消去方法が必要な場合や、NAS・サーバーで搭載ディスクごとの管理が必要な場合もあります。証明書の発行単位も、PC単位なのか、HDD・SSD単位なのかを確認しておきましょう。
本社だけでなく、支店、営業所、工場、店舗、データセンター、倉庫など複数拠点に端末が分散している場合、拠点ごとの回収・消去・証明書発行を管理する必要があります。
対象となる拠点例は以下です。
全国拠点でデータ消去を進める場合は、拠点ごとの作業日、対象台数、担当者、証明書番号を整理しておくと管理しやすくなります。
大手企業では、情報セキュリティ監査や内部監査、社内説明のために、データ消去の記録を残す必要があります。作業が完了したことだけでなく、対象媒体、消去方式、作業日、委託先、証明書番号を確認できる状態にしておくことが重要です。
残しておきたい記録は以下です。
データ消去を業者に委託する前に、対象端末や媒体、台数、拠点、保存データ、必要な証明書を整理しておきましょう。事前に情報をまとめておくことで、見積や作業計画の確認がしやすくなります。
| 確認項目 | 確認内容 |
|---|---|
| 対象端末 | PC、HDD、SSD、NAS、サーバーを洗い出したか |
| 台数 | 拠点別・部署別の台数を整理したか |
| 管理番号 | 資産管理番号・シリアル番号を確認したか |
| 利用部署 | 最終利用部署・利用者を確認したか |
| 媒体種別 | HDD・SSD・NAS・サーバーを区別したか |
| 保存データ | 個人情報・機密情報の有無を確認したか |
| 処理目的 | 廃棄・返却・再利用を区分したか |
| 作業場所 | オンサイト・持ち帰りを検討したか |
| 証明書 | 媒体単位で証明書が必要か |
| 台帳更新 | 消去後に資産台帳を更新するか |
大量端末のデータ消去では、資産管理台帳と実機の照合が重要です。台帳上は廃棄済みになっている端末が実際には保管されていたり、拠点側で予備機として残っていたりする場合があります。
確認したい対象は以下です。
複数拠点でデータ消去を行う場合は、拠点別・部署別に対象端末を管理します。消去作業の進捗、証明書発行、返却・廃棄完了までを一覧化しておくと、全体管理がしやすくなります。
管理したい項目は以下です。
データ消去では、媒体の種類ごとに確認すべきポイントが異なります。HDD、SSD、NAS、サーバーなどが混在する場合は、媒体別に作業方法や証明書の単位を確認しましょう。
PCやノートPCでは、HDD搭載かSSD搭載かを確認します。廃棄、リース返却、社内再利用のどれに該当するかによって、適した消去方法も変わります。
データ消去証明書を取得する場合は、端末管理番号やシリアル番号と証明書を紐づけられるようにしておきましょう。
HDDでは、上書き消去、磁気消去、物理破壊が主な選択肢になります。PCから取り外して処理する場合は、どのPCに搭載されていたHDDなのかを記録することが重要です。
SSDはHDDとは記録方式が異なるため、HDDと同じ方法でよいとは限りません。SSD対応の消去方法や物理破壊への対応、証明書への記載内容を確認しましょう。
NASでは、搭載ディスク数、RAID構成、共有データの範囲を確認します。NAS本体単位だけでなく、搭載ディスク単位で証明書や作業記録が必要になる場合があります。
サーバーでは、業務停止日、バックアップ取得状況、搭載ディスク数、仮想環境の有無を確認します。業務システムやデータベースが関係する場合は、情シス部門、保守ベンダー、データ消去業者の役割分担も整理しましょう。
データ消去方式には、上書き消去、磁気消去、物理破壊などがあります。媒体の種類や処理目的に応じて、適した方法を選びましょう。
上書き消去は、専用ソフトなどでデータ領域を上書きする方法です。端末を破壊せずにデータを消去したい場合に検討されます。
向いているケースは以下です。
磁気消去は、強力な磁気でHDDのデータを消去する方法です。HDD廃棄や大量HDD処理で検討されることがあります。
ただし、SSDには適さないため、対象媒体がHDDかSSDかを事前に確認しましょう。
物理破壊は、HDDやSSDを破砕・穿孔などで破壊する方法です。再利用しない媒体や、機密性が高い媒体、故障媒体などで検討されます。
物理破壊を行う場合は、破壊証明書や写真記録を取得できるかも確認しておくと安心です。
SSDや故障PCでは、通常のソフト消去ができない場合があります。SSD対応の消去方式や、媒体取り外し、物理破壊などの対応可否を確認しましょう。
証明書を取得する場合は、消去できなかった媒体の扱いや、破壊対応した媒体の記載範囲も確認が必要です。
データ消去を委託する際は、オンサイト対応にするか、持ち帰り対応にするかも重要な判断材料です。機密性、対象台数、費用、拠点数、作業負荷を踏まえて選びましょう。
| 比較項目 | オンサイト対応 | 持ち帰り対応 |
|---|---|---|
| 作業場所 | 自社・拠点・データセンター | 業者施設 |
| 媒体搬出 | 原則不要 | 必要 |
| 向いているケース | 機密性が高い媒体、持ち出し不可端末 | 大量処理、コスト重視 |
| 情シス側の負担 | 場所確保・立ち会いが必要 | 回収・引き渡し管理が中心 |
| 確認項目 | 作業場所、立ち会い、証明書 | 運搬管理、保管体制、証明書 |
オンサイト対応は、媒体を社外に出せない場合や、担当者の立ち会いが必要な場合に向いています。データセンター内で作業したい場合や、監査対応で現地作業記録が必要な場合にも検討されます。
向いているケースは以下です。
持ち帰り対応は、大量PCを一括処理したい場合や、費用を抑えたい場合に向いています。一方で、媒体を社外へ搬出するため、運搬管理や保管体制の確認が重要です。
回収・運搬・保管・作業・証明書発行までの流れを確認してから依頼しましょう。
データ消去を外部委託する際は、料金だけでなく、大手企業・法人対応の体制、情報セキュリティ、対応媒体、証明書、作業報告、見積条件を確認しましょう。
大手企業の案件では、大量台数、複数拠点、発注書、請求書払い、作業スケジュール管理などに対応できるかが重要です。法人窓口があるか、プロジェクト単位で相談できるかも確認しましょう。
個人情報や機密情報を含む媒体を扱うため、委託先の情報セキュリティ体制も確認しましょう。認証の有無だけでなく、運搬、保管、作業者管理、再委託の扱いも確認することが大切です。
業者によって、対応できる媒体や作業範囲は異なります。PCだけでなく、HDD、SSD、NAS、サーバー、タブレット、USBメモリーまで対応できるかを確認しましょう。
大手企業では、データ消去証明書、破壊証明書、作業報告書、写真記録、拠点別一覧、媒体別一覧が必要になる場合があります。監査や社内説明に使える形式で発行できるかを確認しましょう。
見積では、台数単価だけでなく、出張費、証明書費、物理破壊費、回収費、緊急対応費、最低料金、追加費用を確認しましょう。拠点が多い場合やオンサイト対応が必要な場合は、費用の内訳が変わることがあります。
データ消去を委託する際は、作業そのものだけでなく、再委託や運搬管理も確認が必要です。特に、媒体を持ち帰って作業する場合は、誰がどこで媒体を扱うのかを把握しておきましょう。
データ消去業者が作業の一部を別会社へ再委託する場合があります。再委託がある場合は、再委託先の管理体制や責任範囲も確認しましょう。
確認したい項目は以下です。
持ち帰り対応の場合は、回収時の受領記録、運搬中の管理、保管場所、入退室管理、媒体取り違え防止、紛失時の対応を確認しましょう。
媒体が社外へ出る以上、作業前後の管理体制まで確認することが重要です。
オンサイト対応では、媒体を社外へ出さない代わりに、作業者が自社拠点に入って作業します。作業員の本人確認、作業範囲、持ち込み機材、持ち出し禁止ルール、立ち会い者を確認しておきましょう。
データ消去の委託では、作業後に証明書を受け取るだけでなく、資産管理台帳と紐づけて管理することが重要です。証明書と端末・媒体が対応していないと、監査や社内確認で使いにくくなります。
データ消去証明書で確認したい項目は以下です。
証明書は、端末番号、シリアル番号、作業日、拠点、利用部署、廃棄・返却完了日と紐づけて管理しましょう。大量端末の場合は、一覧表として管理できる形式にしておくと便利です。
本社、支店、営業所、工場、店舗、データセンターなど複数拠点で作業する場合は、拠点別に証明書を管理します。NASやサーバーでは、機器単位と搭載ディスク単位のどちらで記録するかも確認しましょう。
大手企業の情シス部門がデータ消去を委託する際は、対象整理、台数管理、媒体管理、作業場所、委託先管理、証明書管理をまとめて確認する必要があります。以下のチェックリストを参考に、確認漏れを防ぎましょう。
| 分類 | 確認項目 |
|---|---|
| 対象整理 | PC、HDD、SSD、NAS、サーバーを洗い出したか |
| 台数管理 | 拠点別・部署別の台数を整理したか |
| 媒体管理 | HDD/SSD/NAS/サーバーを区分したか |
| 消去方式 | 媒体と用途に合う方法を選んだか |
| 作業場所 | オンサイト・持ち帰りを判断したか |
| 委託先 | 法人対応・大量台数対応を確認したか |
| セキュリティ | ISO27001、NDA、再委託有無を確認したか |
| 証明書 | 媒体単位で証明書を取得できるか |
| 台帳連携 | 証明書番号と資産管理台帳を紐づけたか |
| 監査対応 | 作業報告書・回収記録・承認記録を残したか |
対象端末・媒体、台数、拠点、処理目的、保存データ、証明書の必要性を整理することです。最初に対象範囲を明確にしておくことで、見積や作業計画を確認しやすくなります。
消去漏れ、証明書との紐づけ漏れ、拠点別の進捗管理、返却・廃棄完了後の台帳更新に注意が必要です。端末ごとに管理番号やシリアル番号を確認しておきましょう。
媒体を社外に出せない場合や現地作業記録が必要な場合はオンサイト対応、大量台数を効率よく処理したい場合は持ち帰り対応が選択肢になります。機密性、費用、作業負荷を踏まえて判断しましょう。
確認すべきです。誰が媒体を扱うのか、再委託先にもNDAや情報管理ルールが適用されるかを確認しましょう。再委託や再々委託の有無、責任範囲も確認が必要です。
監査や台帳管理を考えると、端末番号・シリアル番号・媒体単位で確認できる形が望ましいです。大量端末の場合は、証明書番号と資産管理台帳を紐づけて管理しましょう。
大手企業の情報システム部門がデータ消去を委託する際は、単に作業を依頼するだけでなく、対象端末の洗い出し、媒体別の消去方式、拠点別の作業管理、委託先管理、証明書の一括管理まで考える必要があります。
特に、大量端末や全国拠点が関わる場合は、消去漏れや証明書の紐づけ漏れを防ぐため、事前の台帳整理と進捗管理が重要です。
委託先を選ぶ際は、法人対応、対応媒体、オンサイト可否、情報セキュリティ体制、再委託有無、証明書・作業報告書の発行可否を確認しましょう。大量端末・拠点・証明書管理を一体で考えることが、情シス部門のデータ消去委託では重要です。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||