目次クリックで該当箇所に移動します
不要になったパソコンの処分、御社ではどうしていますか?
パソコンの処分は頻度の違いはあれ、情シス部門としては日常的に発生する業務ですので、対応方法は決まっていると思います。でも、「情報漏洩対策大丈夫かな?コスト削減できないかな?そもそも、他社はどうしているだろうか?」と思ったことはありませんか?
情報システム部門のお手伝いを生業とさせていただている私ですが、正直なところ、今までこのテーマを掘り下げる機会がありませんでした。小規模な企業のお客様からまとまった数の処分のご相談を受けて、産廃業者をご紹介したという経験がある程度です。
そんな私がこの記事を書く機会を頂いてしまいまして(汗)、改めて考えてみることにしました。規模の小さな企業のことは簡単に想像がつくのですが、大きな企業はどうしているだろうか? 情報漏洩対策のデータ消去だってバカにならない手間がかかりそうです。
私の長所はお友達が多いこと(笑)。というわけで、取引先を含めて日頃から交流のある情報システム担当者何人かにパソコン廃棄について話を聞いてみました。その結果、見えてきたポイントが次の3つです。
- ソフトウェア資産管理
- 情報漏洩対策
- 処分の委託先選び
さっそく一つ一つ詳しくご紹介したいと思います。
ソフトウェア資産管理
パソコンはそれだけでも資産ですが、インストールしているソフトウェアも資産です。不要になったパソコンからソフトウェアライセンスを回収して、新たなパソコンに割り当て可能にしておくことが必要です。
最近はデスクトップアプリケーションもOffice365のようにクラウド化されて、ライセンスで購入するケースが増えてきています。利用ライセンス数の増減を管理して、正確な利用数を把握することはコンプライアンスの維持とコスト削減のために重要になります。しかし、ある程度以上の規模になるとこの管理は大変です。
「情シス目線でパソコンの処分って言ったらココが一番大変。これだけで3時間は語れる」とリゾート運営会社の方が語ってくれました。初めは台帳管理していたものの、パソコンの台数もさることながら、日本全国に拠点が増えたことから、その一元管理に一際苦労されたそうです。こうした問題を解決する製品として、ソフトウェア資産管理システムがあります。実際にこのシステムを利用して管理しているという企業もありました。
しかし、使い勝手や費用対効果の面から、件のリゾート運営会社では、システムを自社で内製したそうです。インストールされているソフトウェアを監視するエージェントを開発して、クラウドプラットフォームで情報を集約・管理するアーキテクチャです。これなら、全国に展開している拠点の情報を一元管理できます。
お話を伺ったなかで、一番気付きがあったのは、このソフトウェア資産管理の視点でした。正直そこには思い至らなかったという事もありますし、3つのポイントのうちこれだけは、業者に委託できるものではなく、自社に管理の仕組みを持つ必要があると思ったからです。
情報漏洩対策、データ消去
不安になるところですので、少し技術的な側面も見ておきたいと思います。ファイルの削除や再フォーマットではデータが消去されるわけではありません。「ファイル復元ツール」を使うと復元できてしまう場合があることはご存知だと思います。
現在使われている多くのファイルシステム(WindowsのNTFSやLinuxのext4)は、データの完全性を担保するために、ある程度冗長性を持った構造になっています。このため、単純なデータの1回上書き処理では完全には消去されない可能性があります。
さらにSSDには、特有のリスクも。SSDはHDDと異なって、一つの記憶素子の書き込み可能回数に上限があります。同じ領域への書き込みが集中するとすぐに使えなくなってしまうため、ウェアレベリング機能によって、記憶領域を均等に使うようになっているのです。この機能により、ソフトウェアから特定のデータを上書きしても、SSD内部では使用頻度の少ない領域が優先されて新規書き込みとなり、古い情報が残ったままになる領域が発生する可能性があるので注意が必要です。
データを完全消去する方法
では、確実にデータを消去するにはどうすればいいのでしょうか。具体策を紹介します。
A.ソフトウェア消去
最近の多くのHDD/SSDにSecure Eraseという自己初期化機能が搭載されています。この機能を実行すると、HDD/SSDのメーカが保証した方法で内部的にデータが消去されますので、SSDのウェアレベリングに邪魔されることもありません。また、SSDのSecure Eraseは非常に短時間で消去が完了します。一番確実にデータを消去できる方法と言えるでしょう。
これを実行するにはHDD/SSDメーカが用意している専用ツールもしくは、TxBenchの様なフリーのツールが必要です。対象のHDD/SSDを不要になったPCから取り出し、他のPCの外付けドライブとしてツールを実行します。OSやツールの入っているドライブには実行できないからです。
HDD/SSDを取り出したり、他のPCを用意するのが難しい場合は「データ抹消ツール」を利用するのが良いでしょう。これらのツールは、CDやUSBメモリから起動可能なものが多いので、対象のPCだけで消去が実行できます。
また、消去のアルゴリズムも複数用意されていて、ランダムなデータを複数サイクルで書き込む事により、より確実に消去することが出来ます。ただし、強力なアルゴリズムは非常に時間がかかります。
B.物理破壊
今のHDDはパソコンから取り出して、ハンマーで叩いてみてもなかなか壊れません。確実に破壊するには専用の装置が必要になりそうです。
C.処分業者に委託する
ソフトウェアによる消去や物理破壊を行い、消去証明書発行に対応している業者もあります。
「外部に任せて大丈夫なのか?」と思うかもしれませんが、大手製薬会社の情シス担当者も消去は処分業者に委託していると教えてくれました。教えてもらった委託先の業者は、万全のセキュリティ対策をした環境で、消去作業を行っていることなどがWEBサイトにうたわれています。機密保持に一際気を使う業界でも利用しているとなると、信頼できると判断してもよいのではないでしょうか。
データ消去について、3つの選択肢を考えてみましたが、台数なども考えると処分業者に委託するのが現実的と言えそうです。ただ、銀行系情報システム子会社の担当者から、こんなことも聞きました。
「データセンタのサーバを廃棄する場合、オンサイトで消去作業をしないとセンタから持ち出せないというルールを定めているところもありますよ」
機密性の高い用途に使われていたパソコン・サーバについては、自社でソフトウェア消去を実施してから業者に委託するのが安心ですね。
処分の委託先
最後にパソコンの処分を委託する選択肢として以下の2つをご紹介します。
産廃業者
一つ目は産廃業者。情報漏洩対策が終わったあとに、パソコンを通常の廃棄物と同様に産業廃棄物として、処理を委託できます。当然ですが費用が発生します。メリットはデータ消去を委託できる点。データ消去証明書の発行に対応してくれる業者もあるそうです。大手のSIerもこの方法で処分しているそうですし、今回伺った中で一番多い回答でしたので、主力の委託先と言えそうです。
買取業者
もう一つの選択肢として、パソコン買取に対応している業者への委託があります。こうした買取業者を利用して大幅コストダウンを実現しているという企業もありました。先ほども登場した大手製薬会社の情シス担当者は買取業者に委託する際のポイントやメリットについて以下のように教えてくれました。
- 業者にデータ書き込み作業と引取を含めて処分を依頼する。
- 端末に価値があれば下取り費用が決まり、作業費と相殺する。
- 下取り費用でプラスが出て、買取費用を受け取れるときもある。
買取の場合は一旦業者に所有権がうつるため、産業廃棄物適正処理のために義務づけられている、マニフェストの起票や管理も不要となります。産廃として処理する場合は必ず費用が発生してしまいますが、プラスにもなり得る買取は賢い処分方法と言えそうです。ただし、情報漏洩やコンプライアンスの観点から、信頼できる業者を慎重に選ぶことが重要です。
また、メーカーの中にはVAIOのように自社製品への買い替えを前提として、他社製のパソコンを含めて買取や廃棄を行って、買い替え時のコストを抑えてくれるところもあります。どこのメーカーで買い換えるか決まっている場合は、そのようなサービスがないかについて窓口で確認するといいでしょう。
参考:「一般社団法人パソコン3R推進協会」
3つのポイントを踏まえたベストプラクティス
さて、ここまで不要になったパソコンの処分について、3つのポイントで情シス担当者から教えてもらった内容を考えてみました。この中から、ベストプラクティスを抽出すると、以下のようになると思います。
- ソフトウェア資産管理をして、不要になったライセンスを回収できる仕組みを持っておくこと。
- データ消去は信頼できる処分業者に依頼するのが現実的。ただし、機密性の高いものは依頼前に自社でもソフトウェア消去すること。
- 買取対応してくれる処分業者を活用して大幅コストダウン。ただし、信頼できる業者を慎重に選ぶこと。
セキュリティやコンプライアンスと、コスト削減や効率化を天秤にかけるのは勇気が必要です。不要なパソコンの処分方法もこれに該当するのではないでしょうか?他の企業の様子を知ることで、あなたの会社のグッドバランスを見つける勇気とヒントになれば幸いです。
情シス担当者おすすめの記事はこちら!
◎情シス不要論を覆せ!攻めの情シスになる方法
◎法人パソコンの買い替えってどれくらいの頻度ですればいいの?情シス・総務が知っておくべきパソコンの耐用年数
◎ITコストを削減する7つの方法
◎一人情シスが抱える課題を解決する4つの方法
◎情シスがおさえておきたい社内セキュリティ対策の基本の「き」
◎【人事・総務・情シス必見】ITリテラシーが低い若手社員を育成する3つの方法
◎<情シス必見!>PC導入の手間を大幅削減するキッティングサービスとは?
◎情シスなら知っておきたい、 長期休暇のセキュリティ対策方法
(文章改修 2018年3月12日)