5月16日、一般社団法人コンピュータソフトウェア協会(CSAJ)は、同協会セキュリティ委員会内において、データ消去証明推進研究会を発足すると発表した。発表会をレポートする。
データの完全抹消を電子証明書で認証
PC、スマートフォン、タブレットなどの廃棄およびリユースする際のデータ完全抹消を、第三者機関で認証することを推進。電子証明書によって完全消去したことを認証する業界標準ガイドラインの策定や、事業化の検討を行うほか、データセンターの解約およびストレージ機器のリプレース時における保存データの完全抹消においても同様に、電子証明書による認証の業界標準ガイドラインの策定および事業化の検討を行なう。
一般社団法人コンピュータソフトウェア協会・原洋一理事・事務局長
同研究会の主査を務めるサイバートラストの眞柄泰利社長は、「これまでは、データを消去する方法はあるが、なにをもって消去したのかを証明するためのガイドラインがなかった。データ消去の実行を認定して、電子証明書を発行するための標準的に仕組みづくりに取り組むのが今回の新研究会の狙い。ひとつの企業で取り組むのではなく、業界の責任において、やっていくことが大切である。より多くの企業に参加してもらい、よりよく、わかりやすいものを作りたい。また、電子証明書によってデータの完全消去が認証されたPCなどは、海外にリユース、リファービッシュとして再流通される可能性もあり、国内に留まらず、国をまたいでも有効になる仕組みである。国際的な標準モデルとして位置づけることも、研究会のテーマとして取り組んでいきたい」とした。
サイバートラスト 代表取締役社長の眞柄泰利氏
具体的な活動として、データ完全抹消における技術および高信頼証明について調査研究を行い、必要に応じて講演、セミナー企画を実施するほか、データ完全抹消証明の事業に向けた参入障壁となる規制に対して、改正の提言をまとめる。また、先進的となるモデル事業を検討し、企業間での協業を通じた事業の創出を検討。業界ならびに政府機関が行う各種活動、政策への情報収集を含む積極的な関与から実現可能な協力関係を構築するという。
ワンビ 代表取締役社長の加藤貴氏
本当にデータを消去したのか不安の声が上がっている
同研究会の共同発起人として技術を担当するワンビの加藤貴社長は、「データ消去の依頼を受けユーザー企業からは、本当にデータを消去したのか、紙の証明書では改ざんされないのかといった不安の声があがっている。1TBのデータをしっかりと消去する際には、何度も上書きして、最大で約36時間もかかる場合がある。業者にとっては、時間およびコストがかかるという問題もあり、なかにはフォーマットをしただけでデータを消去したと言い切る業者もある。また、データ消去をした証明についても、作業報告書が提出されているに留まっているのが現状で、データを消去したことを証明するものにはなっていない。さらに、データセンターのストレージにおけるデータ消去も、業者任せであり、実際に、データが消去されたかどうかを第三者機関が認証するところまでは至っていないい。こうした課題を解決するために、第三者機関からデータを消去した証明書を発行。その証明書が電子化され、改ざんされないものとして提供することができるようになる」とした。
マイナンバーによってデータの機密性が向上
データ消去電子証明書の必要性
さらに、「業界ごとに求められる消去レベルや方法が異なる。技術の標準化や消去方法の統一化などを行う一方で、医療業界、金融業界など、それぞれの業界に応じたガイドラインを確立。年内にはいくつかのガイドラインを発表したい」と語った。
データ消去を行なうハードウェアベンダーやソフトウェアベンダー、請負事業者、あるいは個人が所有するデバイスのデータを消去した場合に、これからの企業や個人が、認証局に対して、端末情報や認定された消去ソフトウェア情報などをもとに、データ消去電子証明を申請。認証局では、データ消去電子証明書を発行し、その鍵を管理する。認証局では、消去用ソフトウェアの認定も行なうことになる。データ消去した事業者や企業は、鍵を使って電子証明書を受け取ることができる。
「これによって、いつ、どこで、どうやって、どの製品のデータが消去されたかを証明できる。将来的には、IoT時代におけるデバイスの死活監視まで行っていきたい」(ワンビ・加藤社長)という。
認証局として、サイバートラスト、日本RAが参加するほか、データ消去ソフトウェアではウルトラX、アドバンスデザイン、AOSデータが、データ消去サービスでは大塚商会、ファイルフォースが、盗難・紛失対策ではワンビがそれぞれ参加する。またPCメーカーとしてはパナソニック、富士通クライアントコンピューティングが参加している。ウルトラX、アドバンスデザイン、パナソニック、富士通クライアントコンピューティングは同協会の会員会社ではないため、オブザーバーとして参加することになる。
一般社団法人コンピュータソフトウェア協会・原洋一理事・事務局長は、「コンピュータソフトウェア協会では、業界団体として業界活性化に向けた各種施策を展開しているが、データ消去証明推進研究会は、会員自らが手をあげて発足した点が評価できる。数年前に、研究会の立ち上げにあたって、正会員2社以上であれば設立可能な『この指止まれ』方式を導入し、研究会を発足しやすい環境を作った。すでにBYOD研究会を発足したり、パッケージソフトウェア品質認証制度を立ち上げた成果が出ている。協会としても、データ消去証明推進研究会の活動をバックアップしたい」と述べた。
