「情報資産」を守る砦として、データ消去は職員自らの手で

藤沢市

総務部 IT推進課 情報政策担当 主査

杉山 裕一すぎやま ゆういち

藤沢市

総務部 IT推進課 情報政策担当

有田 尚人ありた なおと

総務省の通知で、より厳重な対策が必要に

―藤沢市ではどんな情報セキュリティ対策を行ってきたのですか。

杉山　当市では、セキュリティポリシーとして、「保有する情報資産を事件・事故から守る」というのを命題のひとつにしています。そのため、平成18年から自治体としては珍しく、ISMSの認証を取得。以降、継続して取得しています。

　また、当市のシステムや端末の約9割がリース契約ですが、業務委託・賃貸借を問わず、契約の際、これまでも必ず「データの保護及び秘密の保持等に関する仕様書」を添付。「受託者は利用が終わった情報機器に関しては必ずデータを消去する」「データを消去した場合はデータ消去証明書を発行する」ことを定め、実行していました。

有田　さらに、リース以外の庁内から出てくる記憶媒体に関しては、適切に廃棄するための業務委託を毎年行い、年に1度数百キロを廃棄し、「廃棄証明書」を発行してもらっていました。

―今回の通知を受けて、どのような対策を講じたのでしょう。

有田　通知には、重要な情報を含む記憶媒体には、物理的もしくは磁気的に破壊をしてデータ消去を行うこと。また、データ消去の際は職員が立ち会いのもとで行うよう書かれていました。当市の仕様書では、職員の立ち会いおよび庁舎内でデータを消去することまでは明記しておらず、業者が持ち帰って消去した後、証明書を発行してもらっていたのです。それは正しいフローですが、通知にはそぐわない。また契約中の案件は、作業場所を庁内に変更することは、契約金額にも関係するため対応が困難だ、と。そこで今後は、庁内で職員自らがデータ消去を行える環境整備が必要になったのです。

あらゆる状況を想定して、庁内の環境を整えていく

―どう対応したのですか。

杉山　重要な情報を含む記憶媒体に関して、まずは磁気破壊装置の導入検討を開始。じつは、15年以上前から磁気破壊装置は保有していたんです。ただ、最新のHDDには対応できず、更新を検討していました。磁気破壊装置なら、職員も使い慣れていることもあり、これを機に刷新しようと。

　ポイントは、HDDを取り出さずにノートパソコンごと磁気的破壊ができること。そのほうが、職員も使いやすいですから。その基準を満たしていたのが、アドバンスデザインの磁気破壊装置でした。また同製品は、消去ログが残るので、どの項目を消去できたかがわかり、作業モレを防ぐことも可能。それで、導入を決めました。

―情報セキュリティに関する今後の方針を教えてください。

有田　情報流出防止策を強化していきます。実際に、重要情報を含まない前提ですが、磁気的破壊ができないリース契約の記憶媒体にはデータ消去ソフトを使い、当市でデータを一度消去。そのうえで、さらに業者に消去を依頼しています。業者まかせにせず、自前の防衛が求められているからこその対応です。これも、アドバンスデザインの製品を活用しています。

　また、あらゆる記憶媒体に対応できるよう、物理破壊装置の検討も行っていきます。情報資産を守るため、職員のセキュリティ教育も含めて徹底していきたいですね。