サイバートラストは5月16日、コンピュータソフトウェア協会(CSAJ)のセキュリティ委員会内において、「データ消去証明推進研究会」を発足したと発表した。同研究会は、PCやスマートフォン、タブレットなどの廃棄・再利用の際のデータの完全抹消を第三者機関で認証することを推進するもの。

主な活動として、データの完全抹消における技術と、その証明について調査研究を行い、必要に応じて講演・セミナーなどを実施するほか、データ完全抹消証明の事業化に向け、参入障壁となりうる規制に対し、改正の提言をまとめていくという。

データの完全消去をいかにして証明するか?

PCなどを廃棄するにあたり、そのデータ消去を請け負う事業者は多数存在する。だが現状、データ消去の証明は手書き、もしくはWordやExcelで作成したものがほとんどで、あくまでも作業報告書にすぎない。悪意のある業者であれば、簡単にフォーマットしただけで、作業した風を装うこともできるだろう。まっとうに事業に取り組む事業者が、いい加減な事業者と差別化を図るべく、正しくデータ消去したことを誰かに認証して欲しいと考えるのは、もっともなことだ。

「さまざまな場所で『データを消去したという証明書を発行してくれる第三者機関が欲しい』というお話を耳にしてきました。それならば、そうした第三者機関を作って、さらに改ざんされない電子証明書を発行してはどうかということで、今回、研究会を発足した次第です」と説明するのは、共同発起人であり、技術支援を行うワンビの代表取締役社長 加藤貴氏だ。

データ消去電子証明書は、次のようなフローで発行される。まず、データ消去を行う事業者や企業は、CA(Certificate Authority)にデータ消去を行う旨を申請し、業界に応じて標準化されたデータ消去技術・手順に従って作業を行う。その後、あらかじめ用意されたAPIによって消去が確認されるとシリアル番号が振られ、それによって電子証明書が発行されるという仕組みだ。

データ消去電子証明書の発行フロー

研究会では、CAとしてサイバートラストと日本RAが活動するほか、AOSデータ、大塚商会、ファイルフォース、ワンビに加え、オブザーバーとしてウルトラX、アドバンスデザイン、パナソニック、富士通クライアントコンピューティングの参加が予定される。

研究会の発起人であり、主査でもあるサイバートラスト代表取締役社長 眞柄泰利氏は、「何をもって『データが消去された』とするか、どこか1企業だけが背負い込むのではなく、業界の責任において研究するのが目的」だと語る。

「多くの方に参加していただくことで、より良く、わかりやすいルールを作っていきたいと思っています。また、こうした活動は国内に留まらない可能性もあるでしょう。そうした展望も含めて、研究会のテーマとして取り組んで行きたいと考えています」(眞柄氏)

消去証明ガイドライン策定に向けた研究会の意気込み

CSAJ理事・事務局長を務める原洋一氏は、「CSAJでは、これまでにもパッケージソフトウェア製品の品質保証制度である『PSQ認証制度』を立ち上げたり、「U-22プログラミングコンテスト」の運営事務局を請け負ったりと、ソフトウェア産業活性化のための活動を推進してきました。今回のデータ消去証明推進研究会についても、いろいろとバックアップしていきたいと考えています」と意気込みを語る。

PCなどのデータ消去に関するガイドラインとしては、すでにRITEA(情報機器リユース・リサイクル協会)が「情報機器の売却・譲渡時におけるハードディスクのデータ消去に関するガイドライン」を策定している。今回の研究会発足を検討するにあたり、協働の案などは出なかったのだろうか。

加藤氏によれば、実は事前に1度、話し合う機会が設けられたのだという。

「われわれは、データ消去に関するガイドラインが1つで済むとは考えていません。業界によっても異なりますし、例えば、個人のPCと官公庁のPCとでは、消去の仕方も違ってくるでしょう。RITEAでも、今のところガイドラインは1つしかありません。そうした点を踏まえ、今後一緒に活動していく可能性もあると思います」(加藤氏)

まだ正式なスケジュールは確定していないが、1年ごとで区切る研究会の活動に合わせて、なるべく早い段階でガイドラインを出していくという。

サイバートラスト代表取締役社長 眞柄泰利氏(左)/CSAJ理事・事務局長 原洋一氏(中央)/ワンビ 代表取締役社長 加藤貴氏(右)