「廃棄証明書はありますか?」本社の監査チームからこの質問を受けて焦った経験はないだろうか。閉鎖した支店のノートPC30台、リース終了で返却したサーバー、前任者が処分したと言っていたデスクトップ、証跡がどこにもない。個人情報保護委員会への報告が必要な事態になりかねない。
IT機器の廃棄は、正しくやれば難しくない。だが「なんとなく処分」すると、法的リスクと監査リスクの両方を背負うことになる。
日本の法規制
IT機器の廃棄には3つの法律が関わる。
小型家電リサイクル法
2013年施行。PC、スマートフォン、タブレット、周辺機器などの小型電子機器のリサイクルを定めた法律。自治体が指定する回収拠点や認定リサイクル業者を通じて処理する必要がある。一般ごみとして廃棄するのは法律上認められていないし、何よりデータを含む機器が管理されない廃棄物の流れに入ることを意味する。
廃棄物処理法
事業者が排出する廃棄物は「産業廃棄物」に分類され、許可を持つ処理業者の利用が義務づけられている。マニフェスト制度により、廃棄物の排出から最終処分までの流れを記録・管理しなければならない。
マニフェスト管理の要件:
- 廃棄物ごとにマニフェストを発行する
- 収集運搬業者からの受領確認を得る
- 処分業者からの最終処分確認を得る
- マニフェストを5年間保管する
違反した場合の罰則は、最大1,000万円の罰金と5年以下の懲役。形式的な義務ではない。
個人情報保護法(APPI)
機器を廃棄するからといって、データ保護の義務がなくなるわけではない。個人情報を保存したことのある機器は、廃棄前にデータを確実に消去する義務がある。不適切な廃棄による情報漏えいは、通常の情報漏えいと同じ扱いになる。個人情報保護委員会への報告と本人への通知が必要だ。
データ消去の基準
NIST SP 800-88 Rev. 1
外資系企業の本社が参照する標準規格。3段階のサニタイゼーションレベルを定義している。
| レベル | 方法 | 用途 | 検証 |
|---|---|---|---|
| Clear | ソフトウェア上書き(1回以上) | 組織内で再利用する機器 | サンプリング検査 |
| Purge | 消磁、暗号化消去、高度な上書き | 組織外に出す機器の標準的な処分 | 全台検証 |
| Destroy | シュレッダー、破砕、焼却 | 機密性の高いデータ、最大限の保証 | 破壊後の残骸を目視確認 |
外部に出す機器にはPurge以上が推奨される。金融データ、大量の個人情報、機密情報を扱った機器にはDestroyが必要だ。
物理破壊の選択肢
イソリアが提携する認定業者が提供する破壊方法:
- ハードディスクシュレッダー:産業用シュレッダーでドライブを粉砕。必要に応じて立会い確認を手配する
- 消磁(デガウス):強力な磁場で磁気メディアを消去。SSDには効かない
- SSD物理破壊:SSD専用の破壊装置。SSDは消磁では消去できないため、物理破壊が唯一の確実な方法
- オンサイト破壊:移動式シュレッダー搭載車がオフィスに来て、目の前で破壊する。運搬リスクを完全に排除できるため、機密性の高い環境にはこの方法を推奨している
廃棄証明書
全機器について個別の廃棄証明書(Certificate of Destruction)を取得すべきだ。記載項目:
- 機器のシリアル番号・資産管理番号
- 消去・破壊方法
- 実施日時
- 実施者名と資格
- 写真証拠(業界標準として定着しつつある)
本社の監査チームはこれを求める。廃棄時点で取得しておくこと。6ヶ月後に遡って作成するのは事実上不可能だ。
本社に説明すべきポイント
日本特有の廃棄プロセス
本社のIT部門やコンプライアンスチームに、日本の廃棄が単純な「捨てる」ではないことを説明する必要がある。
- 法規制が厳しい:廃棄物処理法のマニフェスト制度は日本独自の仕組みで、欧米にはない。本社のコンプライアンスチームはこの制度を知らないことが多いため、概要を英語で説明できるようにしておく
- 罰則が重い:個人の刑事責任(懲役)を含む。「知らなかった」では済まない
- プロセスに時間がかかる:許可業者の手配、マニフェスト発行、回収日の調整で最低2〜3週間。本社が「今月中に処分して」と言ってきても、そのスケジュールでは動けないことがある
- コストが発生する:事業者の廃棄は有料
コスト構造
| 項目 | 費用目安(PC 20〜50台) |
|---|---|
| ソフトウェア消去(証明書付き) | 1台あたり ¥3,000〜8,000 |
| 物理破壊(シュレッダー/破砕) | 1台あたり ¥5,000〜15,000 |
| 回収・運搬 | 1回あたり ¥30,000〜80,000 |
| オンサイト破壊(移動式シュレッダー) | 1台あたり ¥10,000〜20,000 |
| マニフェスト管理・報告書作成 | ¥30,000〜50,000 |
証跡管理
本社監査で「ラップトップSN-12345はどうなったか?」と聞かれたときの回答は、「処分しました」ではなく:
- 資産台帳に登録(○年○月○日)
- データ消去実施(○年○月○日、NIST Purge準拠、消去証明書 #xxx)
- 許可業者による回収(○年○月○日、マニフェスト #xxx)
- 最終処分確認(○年○月○日、廃棄証明書 #xxx)
この一連の流れを文書で証明できる状態にしておく。日本の規制当局の監査にも、本社のコンプライアンス監査にも、同時に対応できる。
イソリアが提携先に求める基準
IT機器廃棄の品質は、実際に作業を行う業者の能力で決まる。イソリアは以下の基準でITADパートナーを選定しているため、お客様が自ら業者を探す必要はない。
必須認証
- R2認証(Responsible Recycling)またはe-Stewards:国際的なITAD認証
- ISO 14001:環境マネジメント
- ISO 27001:情報セキュリティ。データを扱う以上、交渉の余地なし
- 産業廃棄物収集運搬業許可:廃棄物処理法に基づく許可。これがないと違法
保険・プロセス要件
- 情報漏えい賠償責任保険(補償額はお客様のリスクに応じて確認)
- 環境賠償責任保険
- 機器ごとの廃棄証明書(写真証拠付き)
- オンサイト破壊対応
- 従業員のバックグラウンドチェック・NDA
- SSDとHDDの処理方法の明確な分離
- 廃棄物処理法準拠のマニフェスト発行
イソリアは26年以上にわたって東京エリアのパートナーと廃棄プロジェクトを重ねてきた。お客様が業者選定に時間をかける必要はない。
ライフサイクルで考える
廃棄のことを考えるベストなタイミングは、機器を購入するときだ。
調達時に全機器をタグ付けする。 シリアル番号を記録し、利用者に紐づける。このデータがあるかないかで、廃棄時の工数が劇的に変わる。
ドライブは初日から暗号化する。 BitLocker、FileVaultによるフルディスク暗号化は、万が一廃棄前に紛失しても情報漏えいを防ぎ、廃棄時の暗号化消去(Cryptographic Erase)を可能にする。
運用中は資産台帳を正確に維持する。「何を」「どこに」「誰が」使っているかを把握し、四半期ごとの棚卸しで行方不明の機器を早期発見する。人事異動や退職があったら、その日のうちに台帳を更新する。3ヶ月後に「あのPC、どこに行った?」となるのを防ぐのは、この日々の更新作業だ。ハードウェアの更新サイクル(ノートPCは3〜4年、デスクトップは4〜5年)も計画的に管理し、更新予算に廃棄コストを含めておく。
廃棄のタイミングが来たら、確立したプロセスに従う:データ消去 → 消去証明書 → 回収 → 運搬 → 物理破壊 → 廃棄証明書 → マニフェスト返送。
イソリアのアプローチ
イソリアはアドバイスだけでなく、廃棄プロセス全体を代行する。機器をお預かりしたら、認定パートナーのネットワークを通じて最後まで対応する。
- 資産棚卸し:台帳との突合、不一致の検出
- データ消去:NIST 800-88準拠の消去・物理破壊を認定パートナーが実施。機器ごとの消去証明書を回収
- 許可業者による回収、マニフェスト管理、証跡の一元管理まで物流面もすべて対応
- 本社には廃棄証明書、マニフェスト確認書、サマリーレポートを英語で一括提出。監査対応に必要な書類一式が揃う
窓口はイソリア1社。あとはすべてこちらで日本語で処理する。
IT機器の廃棄をお考えですか? お問い合わせください。プロジェクトの規模を確認し、現実的なスケジュールと費用をお伝えします。