総務省のガイドラインに準拠
物理破壊と同等のデータ消去を実証

政府による「スマート自治体」の推進に伴って、行政サービスのデジタル化が進んでいる。市民の個人情報を含む機密情報が電子データとして保存されるようになり、データが格納されたHDDなどの記憶媒体の取り扱いには十分な注意が必要だ。特に記憶媒体を廃棄する際には、データが復元されて情報が流出するなどのインシデントを引き起こさないための消去方法が求められる。長野県塩尻市で行われた実証実験では、ソフトウェアを用いてデータを確実に消去するプロセスが導き出された。

復元困難な状態で廃棄

長野県塩尻市
松本盆地の南端、長野県のほぼ中央に位置する人口6万6,232人(2022年3月1日時点)の地方都市。中山道、三州街道、北国西街道沿いに「奈良井宿」「贄川宿」「塩尻宿」「郷原宿」などが立地し、市内には今もその面影を色濃く残している。ほかにも、特産のぶどうが生み出すワインや約400年の歴史を持つ「木曽漆器」といった名産品が国内外から高く評価されている。

 2019年12月、関東地区の自治体においてリース契約満了で返却したファイルサーバーのHDDが盗難に遭い、行政データが流出してしまうインシデントが発生した。これを受け、総務省が自治体に向けて策定した情報セキュリティについての基本方針「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)の見直しが行われた。ガイドラインでは、情報システム機器の廃棄やリース返却などを行う場合について次のように記されている(一部抜粋)。

マイナンバー利用事務系の領域において住民情報を保存する記憶媒体
当該媒体を分解・粉砕・溶解・焼却・細断などによって物理的に破壊し、確実に復元を不可能とすることが適当である。なお、対象となる機器について、リース契約により調達する場合においても、リース契約終了後、当該機器の記憶媒体については、物理的に破壊を行う。


 上記に加え、データ消去の手法の一つとして、データ消去装置またはデータ消去ソフトウェアを用いる方法も記述されている。市販の復元ツールを利用しても復元が困難である状態がふさわしい。「ガイドラインで示されているように、個人情報を含む機密データを保存した記憶媒体は、ドリルなどで穴を開けて復元不可能な状態にする『物理破壊』で廃棄を行わなければなりません。近年、スマート自治体の実現に向けた取り組みによってデータの活用が活発になり、HDDを含む大量の記憶媒体がデータ保存に利用されています。取り扱う記憶媒体が増える分だけ、更改や廃棄に伴うデータ消去の実施にかかる時間と予算、人員の確保などの課題が生じます。また、ベンダーからリースしている場合は、ベンダー側の廃棄処理が適切に行われているのかといった不安もあるでしょう」と塩尻市役所 デジタル戦略課 DX推進係 係長 横山朝征氏は説明する。

第三者機関による証明を実現

 こうした記憶媒体の廃棄における課題を解決するべく行われたのが、長野県塩尻市とネットワンシステムズ、ネットアップ、ワンビのITベンダー3社による「ソフトウェアデータ消去プロセスの実証実験」である。ソフトウェアによるデータ消去と第三者機関による証明を組み合わせ、総務省のガイドラインに準じた物理破壊と同等のデータ消去を実現するものだ。2021年の夏ごろ、ネットワンシステムズから実証実験の依頼を受けたことがきっかけとなり、同年10~11月に実施された。

 実証実験では、ネットアップのデータ消去機能を備えたストレージOS「NetApp ONTAP」と、ワンビのデータ適正消去実行証明基盤「OneBe Storage LCM」を連携した「データ消去証明ソリューション」が用いられた。NetApp ONTAPとOneBe Storage LCMは、データ適正消去実行証明協議会(ADEC)が適正な消去技術に基づく消去ソフトウェアであることを保証する「消去技術認証」を取得した製品。NetApp ONTAPの消去プログラムの実行履歴をOneBe Storage LCMにアップロードすると、消去の実行結果とストレージ情報をADECの認証局に送信し、「データ消去実行証明書」が発行される仕組みだ。総務省のガイドラインではこのプロセスを経た証明書の保持が強く推奨されており、データ消去証明ソリューションを利用することで、ガイドラインに即した高いレベルのデータ・ライフサイクル管理が可能となる。

 実証実験は次のような流れで実施された。

  1. 市職員の立ち合いのもと、作業用PCで検証用ストレージのデータ消去を実行
  2. ログファイルをインターネット接続が可能なPCに移動
  3. OneBe Storage LCMにログファイルをアップロード
  4. ログの内容を基にADECに証明書の発行を依頼
  5. 消去証明書が発行され、依頼者に送付
  6. 後日、消去したデータが復旧できないことを第三者機関で確認
  7. 市職員の立ち合いのもと、ストレージにはデータが残っておらず、復元もできない状態にあることを目視で確認

「実証実験に当たり、約4万件の仮想住民データを用意しました。データの内容は架空のものですが、実際の業務で使用しているデータを基に作っています。業務に即したものを使用することで、本番さながらのシミュレーションが行えました」と塩尻市役所 デジタル戦略課 情報システム係 主事 芦澤拓也氏は振り返る。

クラウドへの活用も期待

 今回の実証実験を通して芦澤氏は「仮想住民データは復元できない状態で完全に消去されていました。さらに第三者機関による確実なデータ消去を証明するという、総務省のガイドラインに基づいた消去プロセスを実証できました」と手応えを話す。

 続けて横山氏は「現時点では消去プロセスを検証した段階ですので、実用化に向けて検討を重ねる必要があります。ただ、物理破壊をしなくてもソフトウェアによるデータ消去を実現できたことは、クラウドサーバーなどのデータ廃棄にも生かせるのではないかと考えています」と展望を語った。