
「データ消去証明書」という言葉、聞いたことはありますか?個人で使うパソコンを処分する分には馴染みが薄いかもしれません。しかし、法人のIT機器廃棄では、ほぼ必須の書類です。
データ消去証明書は、「このパソコン(HDD/SSD)のデータは、適切に消去されました」と業者が証明する書類。情報セキュリティ監査、ISMS(情報セキュリティマネジメントシステム)対応、個人情報保護法対応など、さまざまな場面で必要になります。
データ消去証明書は、IT機器のデータ消去を実施した業者が、「消去作業が確実に行われた」ことを証明するための書類です。データ消去という作業は、その性質上「やった/やらなかった」を外から確認できません。HDDを物理破壊→外見だけでは復元可能か不明、ソフトウェア消去→上書きが完全か外見では分からない、暗号化消去→キーが破棄されたかは内部の話。そこで、業者が責任を持って「消去を実施した」と証明する書類が必要になります。
情報セキュリティ監査の対応、経営層・株主への説明責任、顧客への信頼担保。
ISMS認証では、IT機器の廃棄プロセスに証跡が求められます。
「安全管理措置」の一環として、個人情報を扱った機器の適切な廃棄を記録・証明する必要があります。
公共セクターでは、規程により証明書取得が義務化。
金融機関(FISC安全対策基準等)、医療機関(医療情報システムの安全管理ガイドライン)、学校・教育機関で証明書取得が定められています。
取引先から「データ消去証明書の提出」を求められるケースも増加。
改正電子帳簿保存法等への対応として、廃棄証明(消去証明含む)の保管が推奨されます。
業者名、所在地、代表者名、古物商許可番号、連絡先。
会社名・氏名、所在地。
メーカー、機種・型番、シリアル番号、製造番号、HDD/SSDのモデル・容量。
ソフトウェア消去(NIST SP800-88準拠 / DoD 5220.22-M準拠等)、物理破壊(穴あけ・破断・粉砕等)、暗号化消去、使用した機材・ソフトウェア。
実施日、担当者名、社判(必須)、代表者または責任者の署名。
一般的:5〜10年。税務関連:7年(法人)。医療:5年以上。金融:永年保管推奨。原本は耐火金庫等で保管、デジタルコピーはPDFスキャンしてサーバー・クラウドにバックアップ、管理台帳で機器情報・廃棄日・証明書番号を一覧管理。
100台規模の大量廃棄の場合、1台ごとに証明書を発行するより、「データ消去レポート(一覧表)」が実務的です。レポート内容:廃棄機器の一覧(型番・シリアル番号・消去方法)、一括の消去日・作業者、統括の社判・署名。BULLCOMでは、一覧レポートを3,000円〜で発行可能。
BULLCOMでは、個別証明書・一覧レポートの両方を発行可能。標準記載内容:機器情報(メーカー・型番・シリアル番号)、消去方法(DoD準拠 全領域上書き / 物理破壊等)、消去日時、作業担当者、BULLCOM社判・責任者署名、古物商許可番号。「あなたのデータは外に出ません」——データ消去はすべて当社内(神戸市西区伊川谷の事務所)で実施。外部委託も海外輸出も一切いたしません。
データ消去証明書は、IT機器廃棄における「証跡」の中核となる書類です。法令対応・監査対応・お客様への信頼担保——これらすべてにおいて、データ消去証明書は不可欠です。「証明書はオプション」と思うのではなく、「廃棄時の標準セット」として、必ず取得することをおすすめします。
この記事の著者
芦原 陽右BULLCOM 代表
兵庫県公安委員会許可 第631500200039号。神戸・明石でパソコン・IT機器の無料回収・データ消去サービスを提供。 2002年創業のITコンサルティング会社を運営し、個人から法人まで年間多数の機器を適正処理。
会社概要を見る →