データ消去管理システム「ETTMS」、北広島町にて実証実験(株式会社ゲットイット)
株式会社ゲットイットは、2021年11月17日、広島県の北広島町にて、データ消去業務の一元管理システム「ETTMS(エトムス)」の実証実験を実施しました。
株式会社ゲットイット(本社:東京都中央区、代表取締役:廣田優輝)は、広島県山県郡北広島町において、地方自治体/行政機関・データ消去業者・買取り業者・廃棄業者など、複数組織にまたがるデータ消去業務の一元管理システム「ETTMS」(Erasure Trace Tracking Management System:消去証跡追跡管理システム)の実証実験を、2021年11月17日に実施しました。
ETTMSの実証実験は、これまで、当社を含むADEC(データ適正消去実行証明協議会 ※1)会員企業によって複数自治体において実施されてきましたが、本件は、当社が自治体において実施したETTMS実証実験としは、3自治体目(※2)となります。
ETTMS実証実験 背景と概要
2019年12月に報道された自治体で使用されたIT機器のリース返却後に発生した情報流出事件を受けて、データ消去業務を外部委託した場合の情報漏洩リスクの問題が広く認識されることとなりました。
同様の事件に対する再発防止策は、2020年12月28日改定の総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」(※3 以下、新ガイドライン)にも盛り込まれ、現在、各自治体に対して「?情報の機密性に応じた機器の廃棄等の方法」と、その「確実な履行を担保する方法」が求められています。
当社では、新ガイドラインに則ったハイレベルなデータ消去の運用を実現するため、複数自治体においてデータ消去の一元管理システム「ETTMS」の実証実験を進めており、この度、その一環として北広島町での実証実験を実施しました。
新ガイドラインに則ったデータ消去を、自治体職員がシステム上で一元管理
新ガイドラインで求められるデータ消去の管理を徹底するためには、従来、自治体職員は、庁舎内におけるデータ消去作業を記録し、委託事業者に対して適切な監督を行い、メール/FAX/郵送などによってデータ消去証明書を提出させ保管し、全ての情報機器に記録されていたデータが、漏れなく、確実に抹消されたことを管理しなければなりませんでした。
こうした複雑な管理業務に対して、ETTMSでは、データ消去が必要な全ての記憶媒体に対して、追跡IDのQRコードを発行し、庁舎内におけるClearレベルのデータ消去作業(※4)、委託業者への輸送、委託業者における指定レベル(主にPurgeレベル/Destroyレベル ※5)の最終的なデータ消去作業の、全行程を追跡管理・一元管理することが可能です。
ETTMSは、データ消去作業に関する管理を、全て単一のシステム上で完結させることで、新ガイドラインで求められるデータ消去管理を、自治体職員に過度の負担をかけることなく実現します。ETTMSの導入により、自治体は、住民より預かった情報の漏洩リスクを低減するとともに、職員の管理業務を軽減することで、自治体の本来的な住民サービスに注力することが可能となります。
ETTMSについてより詳しくは以下をご参照ください。
https://www.get-it.ne.jp/ettms/
ETTMS 実証実験 作業工程および結果
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM2NDg1MiMyODY3MTkjMjg2NzE5XzRjZGFhNTYxYTM1NjAzZWYxMTQzMTBmMGQ4OTNjMTE0LnBuZw.png ]
実証実験後の北広島町担当者へのヒアリング
◆ データ消去について、特にソフトウェア消去は時間を要し、履歴の管理、記録の保存など、管理に工数がかかることが課題としてあったが、実証実験では、北広島町としての要望はかなり高い水準で満たされた。
◆ 物理破壊の前、中、後の形で写真データが残っている点は記録の保管の形として高く評価できる。QRコードで全記憶媒体を管理できる点も便利だと感じた。
本リリースに関するお問い合わせ先
株式会社ゲットイット
担当者 :川澄(カワスミ)
メール :pr@get-it.ne.jp
電話番号:03-5166-0900
注解
※1 ADEC(データ適正消去実行証明協議会)
2018年2月、CSAJ(一般社団法人コンピュータソフトウェア協会)によって設立。データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的として活動をしています。
Webサイト:https://adec-cert.jp/
※2 当社によるETTMS実証実験
◆ 第1回実証実験:福岡市
実施:2021年4月5日〜4月7日
詳細:https://www.get-it.ne.jp/interview_ettms_fukuoka-city/
◆ 第2回実証実験:豊前市
実施:2021年11月9日〜11月10日
詳細:https://www.get-it.ne.jp/interview_ettms_buzen-city/
◆ 第3回実証実験:北広島町(本件)
実施:2021年11月17日
※3 「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」
新ガイドラインが求める情報資産廃棄時のデータ消去について、詳しくは以下をご参照ください。
iii - 49、?iii - 51 (7)機器の廃棄等
iii - 52 図表 24 情報の機密性に応じた機器の廃棄等の方法
参照:https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000107.html
※4 Clearレベルのデータ消去
総務省ガイドラインなどが参照している、米国国立標準技術研究所(NIST)による「SP800-88 Rev.1」において示されている、記憶媒体に含まれる情報の機密度に応じて適用されるべきデータ消去のランクのうち、最も基本的なレベルとされるもの。(詳しくは※5参照)
※5 Purgeレベル/Destroyレベルのデータ消去
NIST SP800-88 Rev.1 では、以下の3つの消去レベルが示されている。
・クリア消去/Clear:OS経由でアクセス可能な領域に対する消去(HDDに対する1回上書きなど)
・パージ消去/Purge:OSでは認識できない領域も含めた消去(Enhanced SecureEraseなど)
・デストロイ/Destroy:データの読出しを完全に不可能とするレベルでの破壊(破砕、溶解など)
詳細については、以下のホワイトペーパーをご参照ください。
「3回上書き過去のもの 『データ消去』の正しい知識」
執筆:沼田理(株式会社ゲットイット技術顧問)
?https://www.get-it.ne.jp/index.php/archives/14870
また、「パージ消去/Purge」については、以下のホワイトペーパーをご参照ください。
?「研究所でも復元が難しい消去方式Purge(パージ消去)に迫る」
https://www.get-it.ne.jp/index.php/archives/15780
※6 マイナンバー利用事務系の領域において住民情報を保存する記憶媒体
「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」(※3参照)によれば、「マイナンバー利用事務系の領域において住民情報を保存する記憶媒体」に該当する情報資産とは「社会保障、地方税、防災、戸籍事務等に関する情報システム及びデータ」とされ、「当該媒体を分解・粉砕・溶解・焼却・細断などによって物理的に破壊し、確実に復元を不可能とすることが適当である」とされている。また、当該記憶媒体がリース契約によって調達される場合であっても、「リース契約終了後、当該機器の記憶媒体については、物理的に破壊を行う。この場合、予め仕様に明記のうえ、機器の廃棄方法を契約において明記することが望ましい」とされている。(図表24 情報の機密性に応じた機器の廃棄等の方法、iii-52)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM2NDg1MiMyODY3MTkjNjQ4NTJfQmpGS2xpcVNsay5wbmc.png ]
株式会社ゲットイット
都内2,000?倉庫(勝どきZETTA)の豊富な在庫量と、マルチベンダー対応の技術力で、企業の抱えるITの「困った」を解決。サーバー・ネットワーク機器等ITハードウェアの専門家として、レガシーシステム運用に必要なEOSL保守(第三者保守)から、検証環境構築のための機器レンタル、情報機器処分(ITAD)に伴うデータ消去や買取りサービス、コスト削減のリユース販売まで、1社1社のオーダーに応える形で様々なハードウェア関連サービスを提供。株式会社ゲットイットは、持続可能な社会発展へ向けた「SDGs」への関心の高まりを受け、「使えるものは、長く使う」「使い終わったものは、次につなげる」の2点を掲げ、保守による機器の長寿命化や機器のリユース・リサイクルにより、IT ハードウェアの持続可能な運用のための総合サービス「Sustainable Computing ®」※ を展開しています。
[動画: https://www.youtube.com/watch?v=LoXMBU4FDe4 ]
社名 :株式会社ゲットイット
URL :https://www.get-it.ne.jp
所在地 :東京都中央区築地3-7-10 JS築地ビル4F
代表者 :廣田 優輝
設立 :2001年4月
事業内容:ITハードウェアサービス:第三者保守、EOSL保守、販売、買取り、修理、レンタル、移設、構築、データ消去 等
※Sustainable Computing ®(サステナブルコンピューティング)とは、「使えるものは、長く使おう」「使い終わったものは、次につなげよう」をコンセプトにゲットイットが考案した「ITハードウェアの持続可能な運用のための総合サービス」の名称です。
本リリースに関するお問い合わせ先
株式会社ゲットイット
担当者 :川澄(カワスミ)
メール :pr@get-it.ne.jp
電話番号:03-5166-0900
株式会社ゲットイット(本社:東京都中央区、代表取締役:廣田優輝)は、広島県山県郡北広島町において、地方自治体/行政機関・データ消去業者・買取り業者・廃棄業者など、複数組織にまたがるデータ消去業務の一元管理システム「ETTMS」(Erasure Trace Tracking Management System:消去証跡追跡管理システム)の実証実験を、2021年11月17日に実施しました。
ETTMSの実証実験は、これまで、当社を含むADEC(データ適正消去実行証明協議会 ※1)会員企業によって複数自治体において実施されてきましたが、本件は、当社が自治体において実施したETTMS実証実験としは、3自治体目(※2)となります。
ETTMS実証実験 背景と概要
2019年12月に報道された自治体で使用されたIT機器のリース返却後に発生した情報流出事件を受けて、データ消去業務を外部委託した場合の情報漏洩リスクの問題が広く認識されることとなりました。
同様の事件に対する再発防止策は、2020年12月28日改定の総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」(※3 以下、新ガイドライン)にも盛り込まれ、現在、各自治体に対して「?情報の機密性に応じた機器の廃棄等の方法」と、その「確実な履行を担保する方法」が求められています。
当社では、新ガイドラインに則ったハイレベルなデータ消去の運用を実現するため、複数自治体においてデータ消去の一元管理システム「ETTMS」の実証実験を進めており、この度、その一環として北広島町での実証実験を実施しました。
新ガイドラインに則ったデータ消去を、自治体職員がシステム上で一元管理
新ガイドラインで求められるデータ消去の管理を徹底するためには、従来、自治体職員は、庁舎内におけるデータ消去作業を記録し、委託事業者に対して適切な監督を行い、メール/FAX/郵送などによってデータ消去証明書を提出させ保管し、全ての情報機器に記録されていたデータが、漏れなく、確実に抹消されたことを管理しなければなりませんでした。
こうした複雑な管理業務に対して、ETTMSでは、データ消去が必要な全ての記憶媒体に対して、追跡IDのQRコードを発行し、庁舎内におけるClearレベルのデータ消去作業(※4)、委託業者への輸送、委託業者における指定レベル(主にPurgeレベル/Destroyレベル ※5)の最終的なデータ消去作業の、全行程を追跡管理・一元管理することが可能です。
ETTMSは、データ消去作業に関する管理を、全て単一のシステム上で完結させることで、新ガイドラインで求められるデータ消去管理を、自治体職員に過度の負担をかけることなく実現します。ETTMSの導入により、自治体は、住民より預かった情報の漏洩リスクを低減するとともに、職員の管理業務を軽減することで、自治体の本来的な住民サービスに注力することが可能となります。
ETTMSについてより詳しくは以下をご参照ください。
https://www.get-it.ne.jp/ettms/
ETTMS 実証実験 作業工程および結果
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM2NDg1MiMyODY3MTkjMjg2NzE5XzRjZGFhNTYxYTM1NjAzZWYxMTQzMTBmMGQ4OTNjMTE0LnBuZw.png ]
実証実験後の北広島町担当者へのヒアリング
◆ データ消去について、特にソフトウェア消去は時間を要し、履歴の管理、記録の保存など、管理に工数がかかることが課題としてあったが、実証実験では、北広島町としての要望はかなり高い水準で満たされた。
◆ 物理破壊の前、中、後の形で写真データが残っている点は記録の保管の形として高く評価できる。QRコードで全記憶媒体を管理できる点も便利だと感じた。
本リリースに関するお問い合わせ先
株式会社ゲットイット
担当者 :川澄(カワスミ)
メール :pr@get-it.ne.jp
電話番号:03-5166-0900
注解
※1 ADEC(データ適正消去実行証明協議会)
2018年2月、CSAJ(一般社団法人コンピュータソフトウェア協会)によって設立。データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的として活動をしています。
Webサイト:https://adec-cert.jp/
※2 当社によるETTMS実証実験
◆ 第1回実証実験:福岡市
実施:2021年4月5日〜4月7日
詳細:https://www.get-it.ne.jp/interview_ettms_fukuoka-city/
◆ 第2回実証実験:豊前市
実施:2021年11月9日〜11月10日
詳細:https://www.get-it.ne.jp/interview_ettms_buzen-city/
◆ 第3回実証実験:北広島町(本件)
実施:2021年11月17日
※3 「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」
新ガイドラインが求める情報資産廃棄時のデータ消去について、詳しくは以下をご参照ください。
iii - 49、?iii - 51 (7)機器の廃棄等
iii - 52 図表 24 情報の機密性に応じた機器の廃棄等の方法
参照:https://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000107.html
※4 Clearレベルのデータ消去
総務省ガイドラインなどが参照している、米国国立標準技術研究所(NIST)による「SP800-88 Rev.1」において示されている、記憶媒体に含まれる情報の機密度に応じて適用されるべきデータ消去のランクのうち、最も基本的なレベルとされるもの。(詳しくは※5参照)
※5 Purgeレベル/Destroyレベルのデータ消去
NIST SP800-88 Rev.1 では、以下の3つの消去レベルが示されている。
・クリア消去/Clear:OS経由でアクセス可能な領域に対する消去(HDDに対する1回上書きなど)
・パージ消去/Purge:OSでは認識できない領域も含めた消去(Enhanced SecureEraseなど)
・デストロイ/Destroy:データの読出しを完全に不可能とするレベルでの破壊(破砕、溶解など)
詳細については、以下のホワイトペーパーをご参照ください。
「3回上書き過去のもの 『データ消去』の正しい知識」
執筆:沼田理(株式会社ゲットイット技術顧問)
?https://www.get-it.ne.jp/index.php/archives/14870
また、「パージ消去/Purge」については、以下のホワイトペーパーをご参照ください。
?「研究所でも復元が難しい消去方式Purge(パージ消去)に迫る」
https://www.get-it.ne.jp/index.php/archives/15780
※6 マイナンバー利用事務系の領域において住民情報を保存する記憶媒体
「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」(※3参照)によれば、「マイナンバー利用事務系の領域において住民情報を保存する記憶媒体」に該当する情報資産とは「社会保障、地方税、防災、戸籍事務等に関する情報システム及びデータ」とされ、「当該媒体を分解・粉砕・溶解・焼却・細断などによって物理的に破壊し、確実に復元を不可能とすることが適当である」とされている。また、当該記憶媒体がリース契約によって調達される場合であっても、「リース契約終了後、当該機器の記憶媒体については、物理的に破壊を行う。この場合、予め仕様に明記のうえ、機器の廃棄方法を契約において明記することが望ましい」とされている。(図表24 情報の機密性に応じた機器の廃棄等の方法、iii-52)
[資料: https://files.value-press.com/czMjYXJ0aWNsZSM2NDg1MiMyODY3MTkjNjQ4NTJfQmpGS2xpcVNsay5wbmc.png ]
株式会社ゲットイット
都内2,000?倉庫(勝どきZETTA)の豊富な在庫量と、マルチベンダー対応の技術力で、企業の抱えるITの「困った」を解決。サーバー・ネットワーク機器等ITハードウェアの専門家として、レガシーシステム運用に必要なEOSL保守(第三者保守)から、検証環境構築のための機器レンタル、情報機器処分(ITAD)に伴うデータ消去や買取りサービス、コスト削減のリユース販売まで、1社1社のオーダーに応える形で様々なハードウェア関連サービスを提供。株式会社ゲットイットは、持続可能な社会発展へ向けた「SDGs」への関心の高まりを受け、「使えるものは、長く使う」「使い終わったものは、次につなげる」の2点を掲げ、保守による機器の長寿命化や機器のリユース・リサイクルにより、IT ハードウェアの持続可能な運用のための総合サービス「Sustainable Computing ®」※ を展開しています。
[動画: https://www.youtube.com/watch?v=LoXMBU4FDe4 ]
社名 :株式会社ゲットイット
URL :https://www.get-it.ne.jp
所在地 :東京都中央区築地3-7-10 JS築地ビル4F
代表者 :廣田 優輝
設立 :2001年4月
事業内容:ITハードウェアサービス:第三者保守、EOSL保守、販売、買取り、修理、レンタル、移設、構築、データ消去 等
※Sustainable Computing ®(サステナブルコンピューティング)とは、「使えるものは、長く使おう」「使い終わったものは、次につなげよう」をコンセプトにゲットイットが考案した「ITハードウェアの持続可能な運用のための総合サービス」の名称です。
本リリースに関するお問い合わせ先
株式会社ゲットイット
担当者 :川澄(カワスミ)
メール :pr@get-it.ne.jp
電話番号:03-5166-0900