新着情報

ホーム   >   新着情報一覧   >  
全国初、横須賀市が総務省ガイドラインに則った
世界標準のデータ抹消を実証実験

ニュースリリース

2021/04/22
横須賀市
データ適正消去実行証明協議会(ADEC)

全国初、横須賀市が総務省ガイドラインに則った
世界標準のデータ抹消を実証実験

~ADECと共同で消去証跡と消去証明書による管理を実現~

 この度、神奈川県横須賀市(市長:上地克明)とデータ適正消去実行証明協議会(会長:荻原紀男、㈱豆蔵K2TOPホールディングス代表取締役社長、以下「ADEC」)は、純国産の消去証跡追跡管理システム(以下、ETTMS)を利用した情報資産の廃棄及びデータ抹消履歴管理の実証実験を令和3年3月15日から令和3年3月31日の間に実施しました。これにより横須賀市では全国の地方自治体に先駆けて総務省ガイドラインに整合した情報資産の廃棄時のデータ抹消処理を実現しました。

実証実験の目的

 昨今、情報機器の廃棄時のデータ抹消処理の外部委託時に於ける情報漏洩リスクが問題となっておりました。特に地方自治体で使用されていた情報機器には重要な住民情報が含まれているものあり、総務省からこの課題への対応として「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月28日改訂)」(以下「総務省ガイドライン」)が公開されました。本ガイドラインでは、ADECが公開しているデータ消去技術ガイドブック(https://adec-cert.jp/guidebook/index.html)を参照し、確実な情報機器の廃棄時には世界標準ともいえるNIST(National Institute of Standards and Technology: 米国国立標準技術研究所)の発行した文書SP800-88Rev.1によって規定されたデータ抹消手法を選択することと、各処理の証跡を残す事が求められています。

 横須賀市とADECでは、この総務省ガイドラインに則った運用体制の確認及びハイレベルな運用を行うことを目的にETTMS(略称エトムス)を活用した実証実験を行いました。

実証実験の内容

 本実証実験では、ADECが提供するETTMSを活用し横須賀市役所内でマイナンバー利用事務系(住民情報が格納)に利用した情報資産を含む情報機器に対して、庁内と委託先業者にて情報の機密性に応じた、適切なソフトウェア(ADEC認証消去ソフト)を用いたデータ消去や物理的破壊等の複数の手法によるデータ抹消処理を行い、その処理工程の全てをETTMSで追跡し証跡確保を行いました。

実証実験の結果

 HDD132台、LTO(磁気テープ)53本のデータ抹消について、庁内・庁外において総務省ガイドラインに例示された手法を実現できる運用体制を確認できました。また、データ抹消処理の履歴管理を全てETTMSで行い、市職員がリアルタイムで庁内及び委託先での作業進捗を把握できることが実証できました。これにより総務省ガイドラインに則ったデータ抹消と管理工数削減を同時に実現し、市が目指す職員による住民と対話する時間の創出が可能となります。

消去証跡追跡管理システム(ETTMS(Erasure trail tracking management system))について

 一般的に情報システム機器の廃棄やデータ抹消には複数の工程があり対象機器や記録媒体が作業依頼者から業者A、業者B(加えてAからBへの運送業者)・・と渡って複数社にまたがって工程が進んでいくケースも少なくありません。この場合、それぞれの業者が固有の管理を行い、業者それぞれが作業依頼者に情報を開示するのが一般的です。しかし、作業依頼者側では、業者それぞれで公開する情報やフォーマットが異なり処理の全体像が掴めない、取得情報に時間差が生まれてしまうという課題がありました。
 ETTMSでは、廃棄時のデータ抹消工程が始まる段階で、対象機器や記録媒体に紐づけされた「追跡ID」を割り当て、工程の最初から最後まで「追跡ID」を用いたトラッキングを行なうことができ、それぞれの工程でそれぞれの業者が作業進捗を追記して記録されます。この記録はクラウドサーバー上に集積されリアルタイムで作業依頼者が確認可能であり、第三者による監査が実現できます。
総務省ガイドラインでは、廃棄時にデータ抹消する情報システム機器は取り扱う情報の機密性に応じて、適切な「廃棄(/データ抹消)手法」と「確認方法」を取ることを求めています。これを踏まえた、「消去証跡追跡管理システム」の必要性は一段と高まるものと考えられます。

「消去証跡追跡管理システム」の特長

 ETTMSのデータは全てクラウド上で管理が行われており、証跡となるデータを電子記憶媒体で残す事が可能となります。追跡データの保管にはさくらインターネット株式会社のサーバを使用する事で開発元(株式会社ウルトラエックス)も合わせて純国産のより安心安全なシステムとして運用が可能です。

総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」

 令和2年12月28日に公開された本ガイドラインではNIST-SP800- 88rev1を参照した情報機器の廃棄及びデータ抹消手法が定義され、取扱データの機密性に応じた廃棄及びデータ抹消の消去履歴とデータ消去証明書の取得を促すガイドラインです。
※詳細はWebサイトをご参照ください。https://www.soumu.go.jp/main_content/000727474.pdf
 (該当箇所:ⅲ-49、51、52図表24)

データ適正消去実行証明協議会(ADEC)の概要

 ADECは、データの適正な消去のあり方を調査・研究し、その技術的な基準を策定するとともに、これに基づいてデータの適正消去が実行されたことを証明するための第三者的な証明制度の普及・啓発を図り、我が国における健全で安心安全な循環型IT社会の実現に寄与することを目的としています。
※詳細はWebサイトをご参照ください。https://adec-cert.jp/

本リリースに関するお問い合わせ先

横須賀市経営企画部デジタル・ガバメント推進室
TEL:046-822-8179

データ消去実行証明協議会(ADEC)
広報担当:大泉、鈴木
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル(CSAJ内)
e-mail:kouhou@adec-cert.jp TEL:090-6654-6350

▲ PAGE TOP