官公庁・自治体がPCやHDD、SSD、NAS、サーバーを廃棄・返却・入れ替える際は、保存されているデータを確実に消去する必要があります。
庁内端末や共有サーバーには、住民情報、行政文書、職員情報、税務関連情報、福祉関連情報、契約書、会議資料などが保存されている場合があります。こうした情報が残ったまま媒体が外部へ出ると、情報漏洩や監査対応上の問題につながるおそれがあります。
特に官公庁・自治体では、データ消去そのものだけでなく、データ消去証明書、作業報告書、オンサイト対応、媒体管理、委託先の情報セキュリティ体制を確認することが重要です。
このページでは、官公庁・自治体がデータ消去を進める際に確認したい項目をチェックリスト形式で整理します。
官公庁・自治体で使用されるPCや記憶媒体には、一般企業以上に慎重な取り扱いが必要な情報が保存されている場合があります。廃棄や返却の際にデータが残っていると、住民情報や行政文書の漏洩につながる可能性があるため、事前の確認が欠かせません。
職員用PCや共有端末、庁内サーバー、外付けHDDなどには、業務上取り扱ったデータが残っている場合があります。保存場所が明確でない一時ファイルやダウンロードデータにも注意が必要です。
保存されている可能性がある情報は以下です。
こうした情報が残ったまま媒体を廃棄・返却すると、後から確認が難しくなるだけでなく、住民や関係機関への説明が必要になる場合もあります。
PCの初期化やファイル削除を行っても、媒体内部にデータの痕跡が残る場合があります。画面上では消えているように見えても、復元ソフトなどで読み取られる可能性があるため、通常の削除だけで安全とはいえません。
官公庁・自治体では、データを消去した事実を後から説明できる状態にしておくことも重要です。そのため、消去方式やデータ消去証明書、作業報告書の有無まで確認しておきましょう。
PCやHDD、SSDなどを廃棄業者、リース会社、委託先へ引き渡した後は、媒体の所在や状態を確認しにくくなる場合があります。媒体を庁外へ出す前に、対象端末、保存データ、消去方式、証明書の必要性を整理しておくことが大切です。
庁外搬出に不安がある場合は、庁舎内や指定場所で作業できるオンサイト対応も検討しましょう。
データ消去を進める前に、庁内で廃棄・返却・入れ替え対象となる媒体を洗い出しましょう。職員用PCだけでなく、共有PC、外付けHDD、NAS、サーバー、USBメモリー、バックアップ媒体なども確認対象になります。
| 確認項目 | 確認内容 |
|---|---|
| PC | 職員用PC、共有PC、窓口端末を確認したか |
| ノートPC | 持ち出し用端末・モバイル端末を確認したか |
| HDD | 内蔵HDD・外付けHDD・バックアップHDDを確認したか |
| SSD | SSD搭載PC・外付けSSDを確認したか |
| NAS | 庁内共有NAS・部署別NASを確認したか |
| サーバー | ファイルサーバー・業務サーバーを確認したか |
| USBメモリー | 業務用USB・一時保存媒体を確認したか |
| タブレット | 窓口・教育・現場業務用端末を確認したか |
| バックアップ媒体 | 外部保管媒体や旧バックアップを確認したか |
データ消去の対象は、職員用PCだけではありません。部署ごとの共有NAS、外付けHDD、USBメモリー、旧バックアップ媒体などにも、行政文書や住民情報が残っている場合があります。
特に、異動や年度更新、端末入れ替えのタイミングでは、旧端末や旧媒体が保管庫に残っていないかを確認しましょう。
媒体を洗い出す際は、台数だけでなく、資産管理番号やシリアル番号も確認します。データ消去証明書や作業報告書を取得する場合、媒体を特定できる情報が必要になるためです。
確認したい項目は以下です。
証明書と庁内台帳を紐づけられるように、作業前から管理番号を整理しておくと安心です。
対象媒体を洗い出したら、保存されている可能性があるデータの種類を確認します。官公庁・自治体では、住民情報や行政文書、職員情報などが端末内に残っていることがあります。
| 確認項目 | 確認内容 |
|---|---|
| 住民情報 | 氏名・住所・連絡先などが保存されていないか |
| 税務情報 | 税額・申告・納付関連データがないか |
| 福祉情報 | 福祉・介護・子育て支援関連情報がないか |
| 職員情報 | 人事・給与・勤怠データがないか |
| 契約情報 | 委託契約・入札・見積関連資料がないか |
| 行政文書 | 庁内文書・決裁資料・議事録がないか |
| 申請データ | 住民・事業者からの申請情報がないか |
| 一時ファイル | 業務システム出力やCSVが残っていないか |
業務データは、庁内システムや共有フォルダだけでなく、PCのローカル領域に保存されている場合があります。デスクトップ、ドキュメント、ダウンロード、メール、ブラウザ保存情報なども確認しましょう。
業務システムから一時的に出力したCSVやPDF、申請書データ、集計資料などが残っていることもあります。
NASやサーバー、外付けHDD、旧バックアップ媒体には、複数部署のデータが保存されている場合があります。PC単体のデータ消去だけでなく、共有媒体やバックアップ媒体の廃棄・更新もあわせて確認しましょう。
対象媒体と保存データを整理したら、媒体や用途に応じた消去方式を検討します。官公庁・自治体では、廃棄、返却、再利用の区分に応じて、上書き消去、磁気消去、物理破壊などを選ぶ必要があります。
| 確認項目 | 確認内容 |
|---|---|
| 上書き消去 | PC再利用・リース返却に適しているか |
| 磁気消去 | HDD廃棄時に使えるか |
| 物理破壊 | 再利用しない媒体で必要か |
| SSD対応 | SSDに適した方法を確認したか |
| NAS対応 | 搭載ディスクごとに確認できるか |
| サーバー対応 | 業務停止・バックアップ後に作業できるか |
| 消去不可時 | 故障媒体の対応方法を確認したか |
| 証明書 | 選択した方式が証明書に記載されるか |
HDDとSSDでは記録方式が異なるため、同じ方法で消去できるとは限りません。HDDでは上書き消去、磁気消去、物理破壊が選択肢になりますが、SSDではSSDに対応した消去方式や物理破壊を検討する必要があります。
媒体を廃棄するのか、リース返却するのか、庁内で再利用するのかによって、適した消去方式は変わります。
| 用途 | 検討したい方法 |
|---|---|
| 廃棄 | 物理破壊・磁気消去などを検討 |
| 返却 | 上書き消去・証明書取得などを検討 |
| 再利用 | 媒体を破壊しない消去方法を検討 |
官公庁・自治体では、媒体を庁外へ出せない場合や、現地での作業確認が必要な場合があります。そのようなケースでは、庁舎内や指定場所でデータ消去を行うオンサイト対応が選択肢になります。
| 確認項目 | 確認内容 |
|---|---|
| 現地作業 | 庁舎内・指定場所で作業できるか |
| 媒体搬出 | 庁外へ持ち出さずに対応できるか |
| 立ち会い | 職員が作業に立ち会えるか |
| 作業場所 | 会議室・保管室などを確保できるか |
| 電源・設備 | 作業に必要な設備を準備できるか |
| 作業音 | 物理破壊時の音・安全面を確認したか |
| 証明書 | 作業場所が証明書に記載されるか |
| 作業報告 | 作業内容を報告書で確認できるか |
「訪問対応」と記載されていても、現地で消去まで行うとは限りません。業者が媒体を回収し、施設へ持ち帰って作業する場合もあります。
庁外搬出を避けたい場合は、現地で上書き消去や物理破壊まで対応できるかを確認しましょう。
住民情報や行政情報を含む媒体、機密性の高い資料が保存されていた端末は、庁外へ持ち出す前に慎重な判断が必要です。媒体を外部に出したくない場合は、オンサイト対応できる業者を検討しましょう。
官公庁・自治体のデータ消去では、作業後にデータ消去証明書や作業報告書を取得し、庁内の資産管理台帳と紐づけて保管することが重要です。
| 確認項目 | 確認内容 |
|---|---|
| 対象媒体 | PC・HDD・SSDなどが明記されているか |
| 管理番号 | 庁内の資産管理番号と照合できるか |
| シリアル番号 | 個体識別できるか |
| 消去方式 | 上書き・磁気・物理破壊などが明記されているか |
| 作業日 | 実施日が記載されているか |
| 作業場所 | オンサイト・持ち帰りの別が分かるか |
| 作業結果 | 消去完了・破壊完了が確認できるか |
| 証明書番号 | 書類管理できる番号があるか |
| 発行元 | 委託先名が分かるか |
| 写真記録 | 物理破壊時に対象を確認できるか |
データ消去証明書を取得しても、どの媒体を消去した証明なのか分からなければ、監査や社内確認で使いにくくなります。資産管理番号、シリアル番号、証明書番号、作業日、廃棄日を紐づけて管理しましょう。
作業報告書では、作業内容、対象台数、作業時間、立ち会い者、特記事項、例外対応などを確認できます。証明書だけでは分からない作業の流れを把握するために、必要に応じて取得しておきましょう。
データ消去を外部業者へ委託する場合は、費用だけでなく、官公庁・自治体向けの対応力、オンサイト対応、証明書、作業報告書、情報管理体制を確認しましょう。
| 確認項目 | 確認内容 |
|---|---|
| 官公庁対応 | 官公庁・自治体向け対応実績があるか |
| 対応媒体 | PC・HDD・SSD・NAS・サーバーに対応できるか |
| オンサイト | 庁舎内で作業できるか |
| 証明書 | 消去証明書・破壊証明書を発行できるか |
| 作業報告 | 作業報告書を提出できるか |
| 情報管理 | ISO27001・Pマークなどを確認したか |
| NDA | 秘密保持契約に対応できるか |
| 再委託 | 再委託の有無・管理体制を確認したか |
| 運搬管理 | 持ち帰り時の運搬・保管体制を確認したか |
| 費用 | 見積内訳・追加費用を確認したか |
データ消去業者を選ぶ際、費用は重要な判断材料です。しかし、官公庁・自治体では、証明書、作業報告、オンサイト対応、情報管理体制、再委託の有無も重要です。
安価であっても、必要な証明書が発行されない、現地作業に対応できない、運搬管理が不明確といった場合は、後から説明に困る可能性があります。
外部委託する場合は、作業の一部が再委託されるかも確認しましょう。再委託がある場合は、再委託先の情報管理体制、秘密保持契約、責任範囲を確認することが重要です。
誰が媒体を扱い、どこで作業し、どの会社が証明書を発行するのかを事前に把握しておくと、監査や庁内説明に対応しやすくなります。
官公庁・自治体のデータ消去では、作業前後の記録を残しておくことが重要です。対象媒体、委託先、作業内容、証明書、台帳更新までを一連の記録として管理しましょう。
依頼前には、対象媒体や台数、保存データの種類、委託先選定理由、見積書、稟議・承認記録を残します。なぜその業者を選んだのか、どの媒体を対象にしたのかを説明できる状態にしておきましょう。
作業中には、作業日、作業場所、立ち会い者、回収記録、作業報告、例外対応などを記録します。オンサイト対応の場合は、立ち会い者や作業場所の記録も重要です。
作業後には、データ消去証明書、作業報告書、破壊証明書、請求書、廃棄記録、台帳更新記録を保管します。証明書と庁内台帳を照合できるようにしておくと、後から確認しやすくなります。
証明書や作業報告書は、取得して終わりではありません。誰が保管するか、どこに保存するか、何年間保存するか、誰が閲覧できるかを決めておきましょう。
電子データで保管する場合は、案件名、作業日、対象部署、証明書番号などで検索しやすい状態にしておくと便利です。
官公庁・自治体でデータ消去を進める際は、対象媒体、保存データ、消去方式、証明書、委託先管理、監査対応をまとめて確認する必要があります。以下の総合チェックリストを参考に、庁内ルールに合わせて確認しましょう。
| 分類 | 確認項目 |
|---|---|
| 対象媒体 | PC、HDD、SSD、NAS、サーバー、USB、タブレットを洗い出したか |
| 保存データ | 住民情報・行政文書・職員情報などを確認したか |
| 消去方式 | 媒体と用途に合う方法を選んだか |
| オンサイト | 庁外搬出せずに作業する必要があるか |
| 証明書 | 対象媒体・消去方式・作業日が記載されるか |
| 台帳管理 | 資産管理番号と証明書を紐づけたか |
| 委託先 | 情報管理体制・再委託有無を確認したか |
| 監査対応 | 作業報告書・承認記録・廃棄記録を残したか |
必ず必要とは限りません。ただし、住民情報や行政文書を含む媒体では、監査や庁内説明に備えて取得を検討したい書類です。証明書の記載内容や発行元も確認しておきましょう。
初期化だけでは復元リスクが残る場合があります。媒体や保存情報に応じて、上書き消去、磁気消去、物理破壊などを検討し、必要に応じて証明書を取得しましょう。
オンサイト対応できる業者を検討し、庁舎内や指定場所で消去や物理破壊まで対応できるか確認しましょう。訪問回収だけでなく、現地消去まで行うかを確認することが重要です。
対象媒体、管理番号、シリアル番号、消去方式、作業日、作業場所、作業結果、発行元を確認しましょう。庁内の資産管理台帳と照合できる内容になっているかも重要です。
費用だけでなく、証明書、作業報告書、オンサイト対応、情報管理体制、再委託有無、運搬管理を確認しましょう。官公庁・自治体向けの対応実績や法人対応の体制も確認しておくと安心です。
官公庁・自治体のデータ消去では、PCやHDDを廃棄するだけでなく、住民情報や行政文書が残らないよう、媒体ごとに適切な消去方法を選ぶことが重要です。
また、データ消去証明書、作業報告書、資産管理台帳との紐づけ、オンサイト対応、委託先管理まで確認することで、監査や庁内説明にも対応しやすくなります。
まずは対象媒体と保存データを整理し、庁内ルールに合った方法でデータ消去を進めましょう。データ消去は「端末を処分する作業」ではなく、情報漏洩リスクを抑え、後から説明できる状態を残すための管理工程です。
※2022/4時点公式HPより
2022年4月時点で「データ消去」で検索して公式サイトが表示される上位35社をピックアップ。 消去証明書の発行または第三者機関の認定があるデータ消去サービス・販売企業の中から以下の基準で選定
アドバンスデザイン:全ての消去方法に対応。データ復旧会社の消去サービスを提供
ブランコ・ジャパン:消去したデバイス数が最多2.5億台以上(2022年6月公式HPより)
日東造機:物理破壊装置の業界シェアNo1(※)参照元:日東造機(http://nittoh.co.jp/db50pro.html)2022年6月時点
▼スクロールできます▼
| アドバンスデザイン | ブランコ ジャパン |
⽇東造機 | ||
|---|---|---|---|---|
| 販売 | データ消去ソフト | 〇 | 〇 | - |
| 磁気データ消去装置 | 〇 | - | - | |
| 物理破壊装置 | 〇 | - | 〇 | |
| データ消去サービス | オンサイト対応 | 〇 | 〇 | - |
| オフサイト対応 | 〇 | - | - | |
| レンタル | データ消去機器レンタル | 〇 | - | - |
| 公式サイト | ||||