自治体の｢セキュリティ対策｣でやりがちなミス ｢総務省ガイドライン｣改定のインパクトは？

神奈川県はHDDのフォーマットを実施していたようであるが、簡易的フォーマットのみで容易に復元できる状態にあったという。また、そもそも法人におけるPC廃棄手順では、産業廃棄物管理表、いわゆるマニフェスト制度に応じて排出者が最終処分まで管理することが義務付けられているが、神奈川県は廃棄証明書を取っていなかった。

この事案を踏まえ、総務省は2020年12月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定を行った。

主に、情報資産の廃棄やリース返却を行う者は「情報を記録する電磁的記録媒体が不要になった場合、その情報の機密性に応じて復元できないように処置しなければならない」「その処理について日時、担当者、処理内容を記録しなければならない」「情報セキュリティ管理者の許可を得なければならない」といった内容が明記された。自治体も、情報機器のゆりかごから墓場までを意識しなければいけない土壌が出来始めたのである。

この改定を機に、データ消去という観点が注目されるようになった。対策として、フォーマット実行後にHDD全体をランダムな文字列などで上書きするツールは多く存在しているものの、作業に相当の時間を要する。データ消去の専門業者に依頼するとしても、PC1台あたり数千円の費用がかかる。そのため、この適切な処理をリース満了時にすべてのPCに適用できるかどうかといえば、難しい。

一方、HDDの物理破壊がデータ消去の強力な手段として示されていることも多いが、リース物品に対してHDDとはいえ破壊して返却することはできない問題もある。しかしこうした中でも、横須賀市のように世界標準のデータ抹消処理を実現するなどレベルの高い取り組みを行う自治体も出てきている。

｢クラウド環境における情報資産｣への意識

また同ガイドラインは、過去に先述した日本年金機構の事案を受けて、セキュリティ強化の三層分離の対策が反映されたが、2020年の改定で見直しが入った。