お疲れさまです。天野です。
今回は企業において、どうやってPCを廃棄するかについて共有します。
廃棄なんてテキトーにやりゃいいんじゃねーのー
のんのん
適切に廃棄しないと事故に繋がります
なぜテキトーに廃棄してはいけないのか
この事故覚えている人いますかね?
「世界最悪級の流出」とも言われた個人情報流出事件です。簡単に流出の流れを書くと以下のようになってます。
神奈川県 ⇒ 富士通リース ⇒ ブロードリンク ⇒ ヤフオク ⇒ 落札者 ⇒ 流出判明
神奈川県は僕のような情シスが所属するユーザー企業に置き換えてみてもいいかなと。
そして、各企業の落ち度は下記のようになってます。
・HDDの暗号化をしていないこと
・適切な処理をせず、リース機器を返却していること
・担当者が返却先で適切な処理がされているか確認しなかったこと
・リース契約には、データが完全に消去されたことを示す証明書を県に提出する内容も含まれていたが、富士通リースは証明書の発行をブロードリンクに依頼していなかったこと
・下請けに丸投げしたこと
・機器の横流しをしたこと
丸投げ&丸投げww
本来であれば「ユーザー企業で適切な処理が行われる」→「廃棄業者で適切な処理が行われる」という処理が行われどちらかに落ち度があったとしても事故にはならなかったはず。
それがどっちの企業もサボっちゃったからね・・
ユーザー側(神奈川県)の目線としては「富士通側でデータ消去してくれるからこっちはやらなくてもいいか」という気持ちがあったんでしょうね。
まぁ、わからなくはない。だってデータ消去面倒くさいもん。ただ、そこは担当者としては絶対にやらなければいけないこと。
担当者の気持ちはわからなくはないが・・・
ダメ。ゼッタイ。
適切な廃棄方法
はい。ではどのように廃棄したらよかったのでしょうか。
実際に自分がやっていることを書き出してみます。
- スプレッドシートに廃棄する機器の資産番号・シリアル番号を書き出す
- 書き出した情報をもとに資産管理のシステムからシリアル番号・現状のステータス・メーカー等を参照し、ずれがないか確認する。※資産管理のシステムはSnipe-IT使ってます。
- 経理に「資産」になっていないか確認を取る。これはなぜかというと「減価償却」の対象化どうか経理に確認して貰う必要があるからです。
- 廃棄業者・リサイクル業者に見積依頼。できれば買い取ってもらえるところがいいですが値がつかないところがほとんどです。最低条件としてHDD、SSDの物理破壊&廃棄証明書(破壊証明書)を提出してもらえるところにしましょう。廃棄証明書とはこういうのです。
- データの消去。論理的にデータを削除します。データの削除にはDBAN、wipe-out、Windows PEなどを使いましょう。
- 物理的に破壊。この作業は5の段階で論理的にデータが削除できていれば行わなくても大丈夫です。廃棄業者にどちらにせよ、物理的に壊してもらうので。ただ、5の段階でなんらかの理由で論理的に削除できなかったHDDは念の為物理的に壊して廃棄業者に引き渡しを行いましょう。作業につかう「HDDクラッシャー」は購入すると高いのでレンタル等で対応してもよいです。
- 当日廃棄業者に物の受け渡し。忘れがちですがビル管理に養生が必要が確認を取りましょう。また殆どのビルで「作業届」の提出が必須です。忘れないようにしましょう。
- 廃棄証明書の確認。これ絶対にです。
引き渡して終わりではなく、廃棄証明書をもらったときに一安心しましょう。
適切に廃棄業者で処理が行われたのかの確認は担当者のあなたの責任です。
情シスのみなさん・担当者のみなさんに
ハイキサギョウ タイヘン
そう思われている方は多いと思います。僕もそんな一人です。ただ、いろんな対策で情報漏えいに気をつけてきたのに最後の最後で漏洩したらもったいなくないですか?
地味だし、メンドクサイし、力仕事だけど最後まできっちりやりたいなぁと思います。
廃棄作業に関しては新卒SESでお世話になったコールセンターで飽きるほどHDDに穴あけ作業をしたのがいい思い出です。
「キコキコうるせー」って言われながらw
同じような作業をしている方が全国には何千にといるはずです。一緒に頑張りましょうー。
コメント