総務省新ガイドライン対応。一元管理システム「ETTMS」および「データ消去マニフェスト™」を1月19日無料ウェビナーにて発表（株式会社ゲットイット）

2020年12月28日、総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定・公表が行われました。弊社では新ガイドラインとその対応についてウェビナーを行い、データ消去の一元管理システム「ETTMS（エトムス）」、および、データ漏洩を予防し適正な処理の責任を明確化し追跡を可能とする「データ消去マニフェスト™」を発表します。

株式会社ゲットイット（本社：東京都中央区、代表取締役：廣田優輝）は、2021年1月19日（火）14:00～15:30、「データ消去」等に関する無料ウェビナーを開催します。主な内容は、昨年末に総務省より改定版が公表されたセキュリティガイドラインにおける「データ消去」等に関する新指針の概要、およびその対応です。

（詳細／申込：https://get-it.smktg.jp/public/seminar/view/463 ）

サーバーやパソコンなどのIT資産を処分する際には、情報セキュリティの面から、データを適切に消去することが大切です。2019年12月報道の神奈川県庁のHDD転売・情報流出事件以降、総務省は自治体向けセキュリティガイドラインの改定に着手し、2020年12月28日に「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月版）」の公表を行いました。

本セミナーでは、ADEC（※1 データ適正消去実行証明協議会）より、鈴木啓紹氏・沼田理氏の両氏をお招きし、新ガイドラインが求める「データ消去」の内容について解説します。

また、セミナーの最後には、弊社にて予定している新サービスとして、データ消去の一元管理システム「ETTMS（エトムス）」、および、データ漏洩を予防し適正な処理の責任を明確化し追跡を可能とする「データ消去マニフェスト™」について発表します。

新ガイドラインでは、機密性に応じた廃棄方法と確実な履行が追加

今回改定された総務省の新ガイドラインでは、セキュリティ関連の複数分野にて見直しが行われましたが、その一つとして、情報機器の廃棄等を行う際のデータ消去等についても記載内容の改定が行われました。

具体的には、「情報の機密性に応じた機器の廃棄等の方法」と、その「確実な履行を担保する方法」について、およそ2ページ分の記述が追加／改定されています。（※2）

機密性に応じた処理方法として、機密性1に該当する情報を保存する記憶媒体については、庁舎内において「一般的に入手可能な復元ツールの利用によっても復元が困難な状態に消去する 」ことを推奨する一方、機密性2以上に該当する記憶媒体のついては、庁舎内にて上記の処理を施した上で、委託事業者等に引き渡しを行い、「一般的に入手可能な復元ツールの利用を超えた、いわゆる研究所レベルの攻撃からも耐えられるレベルで抹消を行う 」（※3）ことが適当であるとし、その具体的な手法などを示しています。

また、これらの処理の確実な履行を担保するため、庁舎内においては「職員が作業完了を確認する」などの適切な方法による確認、委託事業者等については「抹消措置の完了証明書により確認する」などの適切な方法による確認を行うとしています。

「ETTMS（エトムス）」

以下の図は、新ガイドラインで示された「情報の機密性に応じた機器の廃棄等の方法」「確実な履行を担保する方法」を要約したものです。

上図に示されたような、データの機密性に応じて行われる複数の処理を一元管理し、庁舎内／委託事業者における各作業を追跡管理できるシステムが、「ETTMS」（Erasure Trace Tracking Management System：消去証跡追跡管理システム）です。

「ETTMS」により管理されたデータ消去プロセスにおいては、廃棄や売却など、処分される全ての記憶媒体にQRコードの追跡IDが発行され、庁舎内での消去完了時、委託事業者への出荷時、入庫時、消去完了時等、全ての作業ポイントで履歴を記録し、リアルタイムに機器情報を追跡するこが可能です。

本システムを導入することで、自治体などのデータ消去依頼者は、今まで以上に安心して消去業務を委託することができるようになります。

なお、当システムは、ADEC、株式会社ウルトラエックス、株式会社ゲットイットにて共同開発を行っており、現在、複数の自治体等での検証を進めており、2021年春に正式販売開始を予定しています。

（ETTMS紹介ページ：https://www.get-it.ne.jp/index.php/ettms ）

「データ消去マニフェスト™」

「データ消去マニフェスト™」は、産業廃棄物の適正管理の仕組みとして用いられる「マニフェスト（産業廃棄物管理票）」と類似した仕組みを、組織が所有するIT機器のデータに対して適用したもので、「ETTMS」と連動して弊社にて提供を予定している新サービスです。

通常の「マニフェスト」が、産業廃棄物について、運搬の受託時、処分の受託時、処分終了時、最終処分終了時など、産業廃棄物の追跡を可能とし、不法投棄や不適正な処理による環境汚染等を未然に防止するのと同様に、「データ消去マニフェスト」も、データ消去に関連する各作業ポイントの履歴を記録することで、データ漏洩等の事件を予防し、適正な処理の責任を明確化し追跡を可能とする仕組みです。

役目を終えたIT機器について、資産として売却する際には、産業廃棄物の「マニフェスト」を発行することはできません。このため、追跡管理の仕組みが不十分であることや、データ漏洩などの懸念から、他で使用可能なリユースできるIT機器であっても、二次流通がなされず、廃棄処理／リサイクル処理が行われる場合があります。

株式会社ゲットイットでは、「データ消去マニフェスト™」の普及により、自治体や企業などが安心してデータ消去を委託できる環境を整えることで、IT機器のリユースを促進し、循環型経済確立への貢献を目指しています。

注解

※1 ADEC

データ適正消去実行証明協議会（Association of Data Erase Certification 略称：ADEC）

2018年2月、一般社団法人コンピュータソフトウェア協会（CSAJ）によって設立。データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的として活動しています。（https://adec-cert.jp ）

※2 新ガイドラインにおける、情報資産及び機器の廃棄についての主な改定・追加内容

「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月版）」

第3編　地方公共団体における情報セキュリティポリシー（解説）

iii - 51　（7）機器の廃棄等

iii - 52　図表 24　情報の機密性に応じた機器の廃棄等の方法

参照：https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000107.html

※3 「いわゆる研究所レベルの攻撃からも耐えられるレベルで抹消」

総務省ガイドラインでは、機密性2以上の情報を含む機器に対して、従来のソフトウェア消去よりも上位の消去手法が求められていますが、その具体例として示された各種データ消去手法は、米国国立標準技術研究所（NIST）による「SP800-88 Rev.1」において定義されるPurge（パージ消去）と同レベルのものとなっています。Purge（パージ消去）について詳しくは、弊社ホワイトペーパーをご参照ください。

「研究所でも復元が難しい消去方式Purge（パージ消去）に迫る」

https://www.get-it.ne.jp/index.php/archives/15780

ウェビナー基本情報

日時　　：2021年1月19日（火）14:00～15:30

主な内容：ADECの紹介と、総務省新ガイドラインの概略

　　　　　NIST SP800-88Rev.1におけるClear / Purge、HDD / SSDの差異

　　　　　データ消去の一元管理・追跡管理と、データ消去マニフェスト

　　　　　※ 都合により内容を多少変更する場合がございます

定員　　：200名

登録　　：https://get-it.smktg.jp/public/seminar/view/463

　　　　（参加費無料、登録期限は前日23:59まで）

こんな方にお勧め

◆HDD転売・情報流出事件以降のデータ消去関連の動向に関心のあるメディア関係者の方

◆総務省新ガイドラインへの対応を検討している自治体・行政などの方

◆自組織におけるセキュリティポリシー策定や見直しにあたり参考となる指針をお探しの方

講師紹介

鈴木啓紹（すずきひろつぐ）

データ適正消去実行証明協議会（ADEC）事務局担当。ADEC設立の前身である（一社）コンピュータソフトウェア協会内研究会から運営に携わる。ISOベースの認証スキームに造詣を有し、認証制度の構築／運営などを担当する。独立行政法人情報処理推進機構（IPA）での研究員経験を経て現職。

（詳しくは：https://adec-cert.jp ）

沼田理（ぬまたまこと）

データ復旧・データ消去のスペシャリスト。データ適正消去実行証明協議会（ADEC）技術顧問。神奈川県情報流出事件以降は、新ガイドライン作成へ向けた行政からの技術諮問に応じるなど活動中。2020年2月より、株式会社ゲットイットの技術顧問に就任。

（詳しくは：https://www.get-it.ne.jp/index.php/archives/13438 ）

中村浩英（なかむらひろひで）

株式会社ゲットイット、ITADマネージャー。大手メーカーで20年以上にわたり勤務した後、営業マネージャーとしてゲットイットへ入社。行政・自治体へのIT資産買取り案件を数多く手掛ける。

（船橋市事例を弊社HPにて公開中：https://www.get-it.ne.jp/index.php/archives/15064 ）

今後のウェビナー予定

◆ 3回上書きは過去のもの『データ消去』の正しい知識　【ご好評につき再開催！】

　2021年2月4日（木）　ウェビナー

　詳細／申込：https://get-it.smktg.jp/public/seminar/view/298

株式会社ゲットイット

都内2,000㎡倉庫（勝どきZETTA）の豊富な在庫量と、マルチベンダー対応の技術力で、企業の抱えるＩＴの「困った」を解決。サーバー・ネットワーク機器等ＩＴハードウェアの専門家として、レガシーシステム運用に必要なEOSL保守（第三者保守）から、検証環境構築のための機器レンタル、情報機器処分（ITAD）に伴うデータ消去や買取りサービス、コスト削減のリユース販売まで、１社１社のオーダーに応える形で様々なハードウェア関連サービスを提供。株式会社ゲットイットは、持続可能な社会発展へ向けた「SDGs」への関心の高まりを受け、「使えるものは、長く使う」「使い終わったものは、次につなげる」の２点を掲げ、保守による機器の長寿命化や機器のリユース・リサイクルにより、ＩＴハードウェアの持続可能な運用のための総合サービス「Sustainable Computing ®」※ を展開しています。