消去プロセス認証の詳細

昨今、情報機器の廃棄時のデータ抹消処理の外部委託時における情報漏洩リスクが問題となっておりました。例えば、地方自治体で使用されていた情報機器には重要な住民情報が含まれているものがあり、総務省からこの課題への対応として「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和2年12月28日改訂）」（以下「総務省ガイドライン」）が公開されました。本ガイドラインでは、ADECが公開しているデータ消去技術ガイドブックを参照し、確実な情報機器の廃棄時には世界標準ともいえるNIST（National Institute of Standards and Technology： 米国国立標準技術研究所）の発行した文書SP800-88Rev.1によって規定されたデータ抹消手法を選択することと、各処理の証跡を残す事が求められるようになりました。

情報機器のデータ抹消処理作業を行う事業者がこのような要求に応じるためには、適切なデータ抹消ツールを採用し、適切なプロセスで作業を行い、作業の証跡を残す必要があります。以下のような項目について取り組む必要があります。

ADEC消去プロセス認証を取得することにより、データ消去事業者は、第三者（ADEC）により認証された消去証明書を発行することができるようになると共に、ADECが認証した信頼できる事業者であることが証明されますので信頼性が高まります。

ADECの消去プロセス認証には以下の2種類があります。自社のご都合に合わせて選択いただけます。

ADECが認証した消去ソフトを使用する事業者を対象とした消去プロセス認証となります。ADEC（第三者）消去証明書が発行できます。また、事業者の消去プロセスにおけるセキュア度を示すレーティング※1を受けることができます。

※1：レーティング
審査項目を満たすことで3段階＜★★★ ★★ ★＞にレーティングしております。★の数の多さがセキュア度の高さを表しております。

ADECが認証した消去ソフトを使用しない事業者を対象とした消去プロセス認証となります。従来から使用している消去ソフトを継続的に使用することができます。（認証取得には条件があります※2）

• 商用ライセンス（有償版/実行ログ管理）の消去ソフトを導入している
• 消去対象メディア（HDD/SSD等）を個品毎に管理している
  
• ADEC（第三者）消去証明書が発行できません
  
• 事業者の消去プロセスのセキュア度を示すレーティングを受けることができません

オンサイト消去をセキュアに運用するためのリスク対策を依頼者側と受託者側で双方で合意するためのチェックリストを策定しました

• オンサイト消去リスク概念図（PDF/824KB）
• オンサイト消去チェックリスト（会員限定配布）※事務局へお問い合わせください
  → お問い合わせはこちらから

本コンテンツはオンサイト消去を実施する上で、依頼側が提供するオンサイト消去環境について、受託側がその環境のセキュア度についてチェックリストで合意するかたちで活用します。
チェックリストは2社間で確認／合意し、オンサイト消去環境の残留リスクを確認できるドキュメントとなっております。

（1）ADEC認証の消去ソフトを使用した消去プロセス認証

認証1回目：    新規 レーティング確定

33万円（税込）／箇所

認証2回目：    継続 認証1回目の審査項目と変更点を重点的に審査します。

22万円（税込）／箇所

認証3回目：    更新 全項目を審査して再レーティングを実施

33万円（税込）／箇所
以降、毎年1回継続→更新の順で審査を繰り返していきます。

• 継続時にも再レーティングを希望する場合は更新と同等と審査を行うことが可能です。事務局にご要望ください。
• 認証は取り消すこともあります。

（2）ADECの認証していない消去ソフトを使用した消去プロセス認証

認証1回目：    新規 レーティング無

44万円（税込）／箇所

• 継続、更新につきましては事務局にお問い合わせください。

消去プロセス認証 通常2～3ヶ月で取得。
判定委員会の開催月（3月、6月、9月、12月）に開催。

＜対応エリア分類：全国 北海道、東北、関東、中部、北陸、関西、中国、四国、九州、沖縄＞