1月27日、データ消去ソリューションを展開するブランコ・テクノロジーは、データ消去の重要性と同社の製品についての説明会を開催した。来年から施行予定のEU一般データ保護規則(GDPR)についても言及された。
“忘れられる権利”に対応するブランコのデータ消去ソリューション
データ消去ソリューションを提供するブランコ・テクノロジー・グループは、国内のIT従事者を対象に国内企業のデータ管理や法令遵守に関する調査を実施した(期間:2017年1月、有効回答数150)。その結果、4分の1近く(23%)が自組織のPCやサーバーなどに保存されたデータがどれくらいあるか把握できておらず、IT資産の処分に利用しているIT資産処分事業者やリサイクル事業者、データを預けているクラウドサービス事業者でどのようにデータ消去が実施されいているか監査できていないと半数以上(51%)が回答した。
Infowatchの調査によれば、2015年に届け出のあったデータ漏えい件数は前年比8%増の1505件で、漏えい1件あたりの平均損失額は2億7400万円。「データが存在する以上、漏えいのリスクはどの企業にもあり、影響の大きさから考えれば、データ管理や消去対策は急務だ」と、ブランコ・テクノロジー・グループのラス・アーンスト氏は指摘した。
対策が必要である理由は、セキュリティ損害ばかりではない。アーンスト氏は、2018年5月25日に施行予定のEU一般データ保護規則(General Data Protection Regulation)を挙げる。
同規則は、個人データの収集処理を行なう事業者はデータ保護責任者を設置するか欧州で代理人を選定し、データの消去含む管理を徹底するよう義務づけるものだ。違反した場合、2000万ユーロまたは全会計年度の全世界年間売上高のうち4%を制裁金として科せられる。対象はEUの企業のみでなく、EUで事業する外資系企業も含まれる。
アーンスト氏が注目するのは、「Right to be forgotten」(忘れられる権利)が明文化されている点だ。つまり、不要なデータは確実に消去し、漏えいが発生して義務を怠っていたと判断された場合は厳しい罰則が適用されるということになる。
確実に消去でき、監査証跡も採用できる
対策は、デバイスやデータのライフサイクル管理に基づき、データ消去を適切に実施することだ。たとえば、社員が退職して他社員にPCを割り当てるとき、リース期間が終了したとき、物理的に廃棄またはリサイクル事業者への回収するときなどのタイミングでデータを消去するといった具合だ。
ブランコのデータ消去ソリューションは、記憶域すべてを上書きし、ポインタやコンテンツも一切残さず消去するのが特徴だ。スマートフォンやタブレット、PC、フラッシュメディア、サーバーやストレージ、LUNや仮想ボリュームなど、それぞれ専用の製品を用意。消去内容などを報告するレポートは改変できないよう暗号化され、監査証跡にも採用可能だ。「ソフトウェア製品なので、物理ディスクに依存することなくデータを消去でき、さらには消去後の再販や再利用も可能であることがメリットだ」(アーンスト氏)
国内の導入実績も豊富で、たとえばリコーではコンビニにマルチコピー機を納入しているが、住民票や謄本などをコピーできる「行政サービス」機能において、コピー時にマイナンバーが端末に残らないようファイル消去製品「File Eraser」を採用している。また、日本サムソンでは「Drive Eraser」を採用し、社用パソコンのSSDのデータ消去管理や監査業務の効率化を図っている。
同社製品のメリットについて、「不要なデータがなければ、セキュリティリスクやデータ漏えいの可能性を低減できる。そうすれば、企業のブランド価値は保護され、コンプライアンス対応も促進。最終的にはコスト削減効果に貢献する」アーンスト氏はこう説明する。