自治体の入札資格に上記取得が義務付けされました!!

この度「ASP・SaaS安全・信頼性に係わる情報開示認定」の取得が、自治体(都道府県・市町村・特別区)や各種公共団体の入札資格に義務付けられました。今後のクラウド事業者選定の基準になります。
各種第三者認証も取得しております。

【情報漏えい対策に!!】

■弊社のハードはすべて新品※
■媒体は「再利用せず」「解約・交換ごとに」シュレッダー!!※

  ※この業界では、再利用が常識です。

■解約や故障で「外されたHDDにはデータ漏えいの危険性」があります。
■現時点では廃棄業者を信用する以外ありません。
■その為、どんな手を使っても復元できない対応と、破壊破棄の証明書が重要です。

■御社では解約されたサーバやHDDのその後の対応をどのようにご確認されておられますでしょうか。
→ ◆情報漏えい対策関連、弊社新聞掲載情報
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1、弊社のOSMSは共用・再利用も一切なく、全て新品、全て削除・破壊・破棄しそれを証明します。(初期費用が多少高いように見えますが、安心です)

2、解約などで不要になった媒体は物理破壊を推奨し、破棄したことを証明。

解約・故障で外されたHDDには情報漏えいの危険があります。

解約、破棄後の再利用 (再利用でデータが復元された事例)

5、DBは共用ではなく「それぞれの専用DBへの分散管理」を推奨(特定個人情報は管理区域を明確にして管理)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━




1、弊社のOSMSは共用・再利用も一切なく、全て新品、全て削除・破壊・破棄し、
  それを証明します。(初期費用が多少高いように見えますが、安心です)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
弊社の「OSMS」は、全てのハードウェアに新品のみを利用しており、共用も再利用も一切行っておりません。

また、ご解約や故障の度に全ての媒体に対し「磁気消去+物理破壊」の作業を行った後、専門業者に依頼し処分しております。

不要な紙媒体はシュレッダーすることが当たり前ですが、HDD等もシュレッダーする必要があると弊社では考え、サービス開始時から続けております。

それに加え、HDDの製造番号も記載した下記の写真付き破棄証明書や、データの非複製証明書もご要望に応じて発行しております。

------------------------------------------------------------------------------------------------
本証明書は、解約された以下のサーバのハードディスクに磁気消去機器でデータ消去処理を行い、さらにドライブ面にドリルで穴を空けた上で、廃棄処理したことを証明いたします。
なお、データの複製は一切行っておりません。

ご利用名義 :
代理店名称 :
ドメイン(FQDN)名 :
IP アドレス :
運用開始日 : 年 月 日
解約日 : 年 月 日
廃棄処理実施日 : 年 月 日
廃棄処理担当者 :
HDD 製造番号 :
------------------------------------------------------------------------------------------------


ハードディスク廃棄証明書の例

弊社ではハードウェアに新品のみを利用しているため、ハードウェア1台分の初期費用が発生し、最新の設定や動作確認を行うため納期にも多少のお時間をいただいております。
しかし、下記各項のご心配もなく引き続きご安心いただけるかと手前味噌ながら考えております。
ちなみに先日のセキュリティショーでも媒体の物理破壊製品が数多く展示されておりました。
http://scan.netsecurity.ne.jp/article/2015/05/15/36382.html

サーバ解約時に「復元不可能」にすることや「HDD等の破壊・破棄」は、お客様側で対応する事が出来ません。
そのため弊社では、ご解約後にも安心していただきたく一連の業務を現在も続けさせていただいております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
例えば数ある業務の中でも、データの削除や媒体の破棄は大変重要な業務ですが【サーバの解約時】に、御社のデータが完全に削除され物理破壊も含めて【復元不可能】になっているかどうか、HDD等が完全に【破棄】されているかどうか、御社ではどのようにご確認されておられるでしょうか。

そこで大変僭越ですが、特定個人情報保護委員会のガイドラインを参考に、以下の4項目に分け記載させていただきます。


2、解約などで不要になった媒体は物理破壊を推奨し、破棄したことを証明することが必要に。(「削除のみ」ではなく「破壊・破棄」をおすすめします)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「特定個人情報保護委員会※」による「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」が昨年12月に公表↓されましたが、その内容を参照いたしますと削除・破棄に関して http://www.ppc.go.jp/files/pdf/261211guideline2.pdf
上記URL内の55ページ下部、56ページ上部に下記の記載がございます。

------------------------------------------------------------------------------------------------
特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する。
------------------------------------------------------------------------------------------------
個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
------------------------------------------------------------------------------------------------
※「特定個人情報保護委員会」は、内閣府の外局として「行政手続における特定の個人を識別するための番号の利用等に関する法律」(番号法第36条)に基づき、2014年に設置された行政委員会で内閣総理大臣の所轄に属しています(同36条2項)。
※また、公正取引委員会、国家公安委員会と並ぶ独立性の高い三条委員会のひとつになっています。(内閣府設置法64条)

このガイドラインは昨年の「電子政府(e-Gov)」パブコメの関連情報としても引用されておりました。↓
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000003&Mode=0
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


3、解約・故障で外されたHDDには情報漏えいの危険があります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本来、解約や不要になったサーバは、専用・共用にかかわらず媒体を物理破壊し「復元不可能な手段」で再利用できなくしした上で「削除および廃棄したかどうかを証明」してもらう必要があります。

特に「HDD等が劣化したり故障して交換」という事象は、パブリッククラウドのように複数社で共用しているサービスでも良く発生すると思われます。

実は解約や故障で「外されたHDDにはデータ漏えいの危険性」が潜んでいます。

その理由は、「専用のデータ削除ツールで削除したデータ」でも「暗号化されたデータ」でも、その上「故障や劣化したHDD」でも最近のデータ復元企業では、かなりの確率で復元してしまうからです。

しかし、どの復元業者様に伺っても「物理破壊」されたものだけは復元不可能とのことですので、やはり「物理破壊」してから破棄することは必須かと存じます。

不要になったHDD等は最終的に産廃業者に集りますが、「復元可能な状態で廃棄」してしまった場合のリスクは大きいものがあります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


4、解約、破棄後の再利用 (再利用でデータが復元された事例)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
解約されたサーバは、ほとんどのホスティング企業では再利用しています。

しかし、解約等で不要になった媒体(HDD等)を再利用する場合にも、リスクが伴います。

近年、初期費用が安価な中古や解約サーバを再利用や転売するケースが非常に増えております。 http://itnp.net/story/947

また、不要になったPCも、国内もしくは海外へ転売されたり再利用されることが多くなっています。
http://www.pc3r.jp/association/recycle_result.html

※法人の場合65〜84%が専門事業者を通し再利用されており、イラストにあるように中古再生部品(ユニット)としての再利用も普通に行われております。(PC3R)

それらに起因したためか残念ながら実際に事故が起こっています。

いくつか実例(実名は控えさせていただきます)をあげますと、○○庁で不要になったハードを業者(国内有数の大企業)に依頼し処分したにもかかわらず、中古にて再利用され、且つHDD内のデータが閲覧されたという事故も起こっております。
※ このHDDには○○庁を利用した2500人分の氏名、住所、連絡先同庁員の経歴、稼働状況などの情報が入っていた模様です。

また、別の企業では、何もデータが入っていなかった中古マシンのHDDに対してデータ復元を行ったところ、ある医療機関が健康保険組合に医療費を請求するための診療報酬明細書類が取り出せた、という事例も総務省の「国民のための情報セキュリティサイト」で報告されました。
本来、解約などで不要になった媒体は、ガイドラインの通り「データ削除」や物理破壊も含め「復元不可能」にした後「破棄」「証明する」必要があるわけですが、破棄してしまっては、そもそも中古での再利用自体が出来なくなるわけです。
重要データがあるかもしれないサーバに関しては、中古利用をすべきではないと弊社では考えております。

中古を有効に活用することは大切ですが、デジタルデータに関連する機器を中古利用することには危険が伴います。特に自社から手が離れてしまった時点で、その後の対応や責任の所在を考えると不安が付きまといます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


5、DBは共用ではなく「それぞれの専用DBへの分散管理」を推奨。
 (特定個人情報は管理区域を明確にして管理)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
こちらも内閣官房が公開している情報ですが、DBは共用させず、それぞれの機関用DBに分散した管理を行う必要があるとのことです。
http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/250409kanrihou.pdf
この背景は、当初、各新聞で特定個人情報を「特定の機関」に集約する「一元管理が必要」と報道されたためです。
http://archive.gohoo.org/alerts/130529-2/
しかし、実際には、個人情報を「機関が管理しているDBに分散」(イラストのように機関ごとのDBで管理する)必要がありました。

そこで、「分散」の解釈を「特定個人情報保護委員会」に照会いたしましたところ、パブリッククラウド等へ分散して管理する分散とは意味が違い「一元管理せず、機関ごとのDBで管理するという意味の”分散”」とのことでした。
ガイドラインにもあるように特定個人情報は「管理区域」を明確にする必要がありますので、このご説明には納得いたしました。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━