コンピュータの処分に注意　個人情報盗難の可能性（2）

●同様の事故は他でも起こっている？

　2002年頃までは、処分するコンピュータに重要情報が残っているという認識は、あまり広がっておらず、ケンタッキー州がコンピュータを売却したところ、AIDS患者の名前などの情報が残っていた例や、ペンシルバニア州が処分したコンピュータにスタッフの個人情報が残っていたなど、州政府がデータを消去しないで処分したケースも数件あった。

　しかしここ数年、古いコンピュータの危険性が叫ばれるようになり、多くの企業でセキュリティ担当部門が適切に処分するように努めている。そのため、古いコンピュータに重要情報が残っていたといった事件とは無関係と考えがちだ。しかし、セキュリティ専門家によると、まだまだコンピュータにデータが残っていたというケースは多いという。「新しいハードドライブと思って購入したら、以前のデータが残っていたという経験を数度している」

　一部セキュリティ専門家が勧めるのは、第三者に委託せず、自社でデータ消去作業を行うという方法だ。これに対して、大切なのは企業の情報管理の姿勢だとする声もある。自社内で処理しても、情報漏洩あるいは情報盗難の責任は社内スタッフであることが多い。自社で処理するからといって安心はしていられない。

　それに対して、情報管理の強化を求める専門家は、社内、社外のどちらで処理するにしても、監査体制を整え、定期的そして抜き打ちでの情況調査や、ハードの盗難を防ぐための第三者立ち入り制限などが、何よりも重要だという。

●データを確実に消去

　コンピュータのリサイクルが注目されるにつれ、ハードに記録されたデータが残っていたことによる情報漏洩が問題となっている。2005年1月に『webpronews.com』がデータ完全消去の必要性について掲載しているとおり、ハードドライブをフォーマットしても、特殊なソフトウェアを使えばデータを読み取ることができる場合がある。そのため、コンピュータを廃棄する場合には、記憶されていたデータを復元不可能な形で消去するのが理想的だ。

　少し古いレポートになるが、2003年にマサチューセッツ工科大学(MIT)の大学院生がeBayから158のハードドライブを購入。どれだけのデータを回収できるか調査を行った。結果、5000件以上のクレジットカード番号、財務情報、e-mailなどを取得したという。

【執筆：バンクーバー新報　西川桂子】

この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://www.ns-research.jp/cgi-bin/ct/p.cgi?ssm01_ssmd