博士

ねえロボ子、IT部門がWindows 10のサポート終了とリモートワーク導入でハードウェアを更新してから5年も経つらしいのじゃ。そろそろリフレッシュの時期みたいだぞ。

ロボ子

そうですね、博士。でも古いPCの処分、特にデータ消去をせずに処分すると大変なことになる可能性があるみたいですよ。

博士

ほう、どんな風に大変になるのじゃ？

ロボ子

記事によると、機密データ漏洩時に多額の罰金や法的責任を負う可能性があるそうです。2022年にはモルガン・スタンレーがデータセンターの整理で不適切な業者に委託した結果、3500万ドルの罰金を科された事例もあるみたいです。

博士

3500万ドル！？それは大変じゃ！一体何があったのじゃ？

ロボ子

ベンダーの監督を怠った結果、未消去のハードドライブを含む4900個の資産が第三者に販売され、数千件の個人情報が漏洩したそうです。通貨監督庁からも追加で6000万ドルの罰金、集団訴訟で6000万ドルで和解と、総賠償額は1億5500万ドルに達したみたいです。

博士

ひえー！他人事ではないのじゃ。データ消去サービスを提供しているSurplus Serviceの社長さんも、多くのデータが適切に消去されていない可能性があるって言ってるぞ。

ロボ子

そうですね。データ復旧・消去を行うDriveSaversのマイク・コブ氏も、データ消去ソフトウェアでは完全にデータが消去されない場合があるから、検証が重要だと指摘していますね。

博士

ふむふむ。米国政府のNIST 800-88ガイドラインRev. 1では、データのセキュリティ分類とメディアが組織の管理下を離れるかどうかを考慮するように推奨しているのじゃな。

ロボ子

はい。NISTは、データ消去の主な方法として、データのクリア（上書き）、パージ（安全な消去）、デストロイ（物理的な破壊）の3つを挙げていますね。

博士

物理的な破壊…！Googleはストレージデバイスを細断後に焼却することを要求しているらしいぞ。徹底してるのじゃ。

ロボ子

暗号化も有効みたいですね。暗号化されたドライブは、暗号鍵を消去すれば情報を読み取ることがほぼ不可能になるので、セキュリティレイヤーを追加できます。

博士

なるほど。データ消去後も、組織または請負業者はデータが利用不可能であることを検証して、証明書として文書化する必要があるのじゃな。

ロボ子

EPGD Business Lawの弁護士さんも、データが復元された場合、善意の消去では自動的に責任を回避できないと指摘しています。文書化された消去手順、検証可能なプロセス、ベンダー監視、暗号化が重要みたいです。

博士

それにしても、データ消去サービスって結構費用がかかるのじゃな。Surplus Serviceでは、ドライブの処分方法に応じて1台あたり数ドルから15ドル、オフィスからの機器回収には199ドルから599ドルの費用がかかるらしいぞ。

ロボ子

DellやHPなどの主要OEMは、データ消去だけでなく、機器の価値に応じて払い戻しを受けられるリサイクルプログラムを提供しているみたいです。利用しない手はないですね。

博士

確かに！DellのAsset Recovery Servicesプログラム担当シニアディレクターさんは、顧客が15年前の製品を持っている場合、価値はあまりないかもしれないけど、ほとんどのシステムは新しくて価値があるって言ってるぞ。

ロボ子

HPのRenew Solutions担当VPさんも、最も価値のあるコンピュータは最初の5年間のサービス期間にあると言っていますね。

博士

ふむ。BitRaserなどのソフトウェアベンダーは、NIST 800-88に準拠した消去をIT部門が実行できるソリューションを提供しているのじゃな。256GBのSSDを5分以内に消去できるらしいぞ。

ロボ子

でも、デバイスあたり4ドルから20ドルのライセンス料がかかるみたいですね。

博士

サイバーセキュリティ企業WellTec DefenseのCEOさんは、企業がハードウェアの破壊を自社で行い、残りの部分を第三者に処理させることを推奨しているぞ。これなら安心なのじゃ。

ロボ子

そうですね。データ消去は、単なるコストではなく、企業を守るための重要な投資と考えるべきですね。

博士

全くじゃ！ところでロボ子、もし私がデータ消去を忘れて、うっかりロボ子の秘密のレシピ集を公開してしまったらどうする？

ロボ子

博士…それは絶対にやめてください！でも、もしそうなったら、博士のコーヒーメーカーを初期化して、二度と動かないようにします！