尼崎市のUSBメモリ紛失問題に関するコラム（当該コラムはこちら）を書いていた最中に、また新たに大阪府門真市がSDカードを紛失した、というニュースが飛び込んできました。

門真市の発表によると、紛失したSDカードには男性市民１名の顔写真が記録されていた（マイナンバーカード出張申請サポート会場にて、申請書に用いる顔写真をデジタルカメラで撮影していた）ようですが、「当該SDカード内のデータは、写真印刷後に毎回消去しているため、ほかの市民の顔写真データは入っておりません」としています。

このコラムを書いている2022年6月29日現在、このSDカードが見つかったという情報は入ってきていません。また現時点で紛失による被害の発生などは確認されていないとのことです。しかしもしこのSDカードが悪意のある第三者によって発見された場合、個人情報の漏えいリスクはないのでしょうか？はたまた本当にほかの市民の顔写真データは入っていないのでしょうか？

SDカード/microSDの適切なデータ消去の方法について、現在データ消去におけるグローバルスタンダードのガイドラインとされている『NIST SP800-88 Rev.1』の記述を確認してみましょう。

冒頭のとおり「SDカード内のデータは写真印刷後に毎回消去している」ということですが、おそらくは出張サポート申請会場において、上記のような消去手法がとられていたわけではないのだろうと推察します。一般的に考えて、単純に、PC等においてSDカードに保存してある顔写真データをdelete処理していただけのような気がします。

PC上でのdelete処理やゴミ箱に捨てるという行為は、データ消去とは言えません。

よく言われることなのでご存知の方も多いかと思いますが、これらの行為はインデックス情報が削除されるに過ぎず、実はデータは削除されていません。本棚にたくさんの本が並んでいるとして、読みたい本を探すときにはその背表紙のタイトルを確認していくわけですが、PC上でのdelete処理やゴミ箱に捨てる行為というのは、この背表紙のタイトルを消すという作業に該当します。背表紙のタイトルが消されると、その本を探し出すことは困難にはなりますが、本自体は本棚の中から無くなっていません。そして現代技術において、背表紙のタイトルを復元することは難しいことではないのです。

尼崎市のUSBメモリ紛失問題に関するコラム（当該コラムはこちら）にも書きましたが、情報漏えいに関するリスクとして最も大きなもののひとつが「人的要因」です。データ消去についての基礎知識がなく、PC上でのdelete処理やゴミ箱に捨てるという行為でデータ消去が行えていると誤解しているとしたら、それは大きな情報漏えいリスクとなるでしょう。

プライバシーマークやISMSを取得されている企業・団体では、個人情報保護に関する教育訓練は定期的に行われていると思いますが、ことデータ消去・機密抹消処理に関して言えば、このことに特化したグローバルスタンダードの最新情報を得られるNAID JAPANへの入会をご検討されると良いかもしれません。

※当社はNAID JAPANメンバーです。NAID JAPANへの入会に関してご興味があれば、お気軽に当社へお問い合わせください。

さて、顔写真は個人情報にあたるのでしょうか？

結論としては、顔写真は個人情報にあたるとされています。
これは、個人情報保護法第２条第１項に明記された「特定の個人を識別できるもの」という個人情報の定義によります。

なお、2017年5月の個人情報保護法の改正で「個人識別符号」が新たに個人情報の定義に追加されたことで、従来はグレーゾーンとされていた生体情報（DNA、顔、虹彩、声、歩行の姿勢、手の静脈の形状、指紋）についても、明確に個人情報であると定義されました。

ということで、もし今回紛失したSDカードが運悪く悪意の第三者によって発見され、仮に適切にデータ消去していなかったことによって復元されてしまったら、個人情報漏えい事故になってしまうわけです。

今回のような、デジタルカメラで顔写真を撮影して印刷する、という業務においては、SDカード等の可搬記録媒体の利用が避けられないのかもしれません。また、１回撮影するごとに『NIST SP800-88 Rev.1』に記載されたような方法でデータ消去をしている時間的余裕もないのかもしれません。であれば、紛失リスクを排除した業務マニュアルを作成し、そのマニュアルどおりに業務が遂行されるように作業者を教育するとともに、実際の業務を責任者が管理監督するというような対策が必要になるでしょう。

さて、 もしSDカード/microSDを物理破壊によってデータ消去するとなった場合、どのくらいの物理破壊サイズにすれば良いのでしょうか？ここで世界の規格を参照しておきましょう。

（１）NIST SP800-88 Rev.1

アメリカ国立技術標準研究所（National Institute of Standards and Technology、通称NIST）が発行している、現在グローバルスタンダードとされるデータ消去ガイドライン。

しかし、このガイドラインではSDカード/microSDの具体的な物理破壊サイズには言及していません。
物理破壊について規定しているのは、「除去（Purge）」と「破壊（Destroy）」についての説明箇所です。

「除去（Purge）」、「破壊（Destroy）」ともに共通しているのは、「最先端の研究室レベルの技術を使用しても対象データを復元することが不可能」であることで、「破壊（Destroy）」に関してはさらに「その後のデータ保存に当該媒体が使用できないようにする」ことが求められています。焼却、細断、分解、粉砕、溶融といった方法が具体例として挙げられています。

なお、「除去（Purge）」についての説明の中で、「曲げたり、切断したり、穴を開けたりすることは、媒体に損傷を与えるだけの可能性があり、媒体の一部は損傷を受けずに残っているため、高度な研究室レベルの技術を使用してアクセスが可能な場合もある」としていることに注意が必要です。

---

（２）NSA/CSS POLICY MANUAL 9-12（NSA/CSS Evaluated Products List for Solid State Disintegrators）

NSA（National Security Agency：アメリカ国家安全保障局、アメリカ国防総省の情報機関）およびCSS（Central Security Service：中央保安部、NSAと共にアメリカ国防総省のもとで国家情報活動の統合を行なう国家機関）による記録媒体のデータ消去マニュアルです。

このマニュアルにおいてSDカード/microSDはSSDの中に分類されており、物理破壊については『the NSA/CSS Evaluated Products List for Solid State Disintegrators』に掲載されている機器を使用して処理することを要求しています。
このリストで認定機器類に対する要求事項として記載されているのが、「1辺の長さを2mm以下にできること」です。「SSDは-2mmに物理破壊しないといけない」という話を耳にされたことがある方もいらっしゃるかと思いますが、それはこのマニュアルによるものでしょう。

しかし注意したいのは、NSA/CSSのマニュアルおよび認定機器リストでは単に「1辺の長さを2mm以下に物理破壊すること」だけを要求しているのではなく、「物理破壊する前にすべてのラベルやマーキングを除去すること」が求められていることと「他の記録媒体と一緒に物理破壊することを強く推奨」されていることを忘れては、片手落ちになるということです。

なお、これはあくまでもNSA/CSSにおけるポリシーマニュアルであって、ガイドラインではない、ということです。つまりNSA/CSS内におけるルールであり、NSA/CSSがこの内容を一般に推奨しているということではないのです。もちろん、NSA/CSSの機密情報をもし取り扱っているとしたら、このマニュアルに沿ってデータ消去することを求められるかもしれません。しかしそうでないのであれば、このマニュアルを鵜呑みにするのは得策ではないかもしれません。後述の『NAID AAA CERTIFICATION SPECIFICATIONS Reference Manual』の内容をぜひご一読ください。

---

（３）NAID AAA CERTIFICATION SPECIFICATIONS Reference Manual

このコラムで、「グローバルスタンダードの機密抹消処理規格」としてご紹介したNAID AAA。この認証仕様参照マニュアルにおいても、『NIST SP800-88 Rev.1』と同様で、具体的なSDカード/microSDの物理破壊サイズは記載されていません。

このマニュアルでは、NSA/CSSのマニュアルと同じ様にSDカード/microSDはSSDの中に分類されていますが、SSDの物理破壊に関する要求としては、「使用できない状態になるまで損傷させなければならない」という記載に留まっています。ただし別の要求事項として、シリアル№を読み取れる場合にはそれを記録して機密抹消処理業務完了後に業務依頼主に報告しなければなりません（業務依頼主が不要とした場合にはこの限りではありません）。

グローバルスタンダードの機密抹消処理規格と言いつつ、なんだNAID AAAの要求事項はそんなものか、と思われたかもしれません。しかし、以下のRobert J. Johnson氏（NAID AAA認証を発行している団体、i-SIGMAのCEO）のコラムを読んでいただければ、NAID AAAの求めていることがご理解いただけると思います。

今日、ほとんどの組織が個人情報や競争力のある情報が記録されている不要となった記録媒体を、正しい手法で処分したいと望んでいることは理解できる。

そしてこの点において、適切な物理破壊サイズを決定することに彼らの最初の焦点が定められることも理解できる。

しかし残念ながら、オンラインでそのようなガイダンスを検索しても、入手可能な情報は政府の機密情報に関することばかりで、それらを参考にすると、多くの場合は不必要な費用と不便が発生するという結果になる。

以下のことをちょっと考えてみて欲しい。
・書類や電子機器の物理破壊サイズを指定しているようなデータ保護規則は、世界中にない。それらは単に、情報に合理的にアクセスできず、再構築できないように義務付けているだけに過ぎない。
・政府機関によって、もしくは政府機関のために策定されたほとんどの物理破壊サイズに関する仕様は、物理破壊プロセスが実行された後、破砕片が管理されないということを予期してのものである。
・非常に小さな（そして無意味な）物理破壊サイズを不必要に満たそうとすると、一般的に合理的な処理コストの５～１０倍がかかる可能性がある。
・上記のような要因により、不必要に小さい物理破壊サイズを追求すると、業務に従事する従業員のコンプライアンス意識を阻害する可能性があり、皮肉なことに、組織をより大きなリスクにさらすことになる。

さらに考えて欲しい。
・NAID AAA認証は、物理破壊プロセスが実行された後の破砕片へのアクセス防止を立証することを要求している。
・機密抹消処理業者は複数の業務依頼主からの大量の記録メディアを物理破壊し、破砕片は梱包前に混合され、安全にリサイクルされるか、責任をもって廃棄される。
・世界中の何十万もの組織が、安全性や機密抹消処理要件を満たすNAID AAA認証サービスプロバイダーを頼っている。

i-SIGMAは、27年以上にわたって不要になった情報の適切な機密抹消処理に取り組んでいるグローバルな非営利団体であり、組織が所有する個人情報および競争力のある情報の保護に対して究極的な責任があると考えている。

上記のアドバイスは、組織が最適な物理破壊サイズとは何かを決定したり、完全な見通しもないままに行動することによる費用とリスクを回避するのに役立つはずである。

引用：https://isigmaonline.org/what-is-the-correct-particle-size-for-your-destroyed-media-2/

要するに、物理破壊によるデータ消去において大事なことは、単純に物理破壊するサイズだけではなく、業務全体を見通して抜け目がないようにすることが重要だ、という考え方なのです。

無理のない作業、無理のない費用、そういったところも重視しなければ、人の悪意を増長させてしまうリスクさえあることも考慮にいれているのは、さすがにグローバルスタンダードの機密抹消処理規格であると言えるでしょう。

---

（４）DIN66399

ここまでの説明で、実は具体的な物理破壊サイズはどの世界規格にもほとんど明記されていない、ということはお分かりいただけたかと思います。しかしそうは言っても、やはり適切な物理破壊サイズを決定するための参考となる指標が欲しい、と思われることでしょう。そのような時にベストなのが『DIN（ドイツ工業規格）66399』だと思います。

『DIN66399』は、記録メディアの種類とその記録メディアに保存された情報の機密性によって、具体的な物理破壊サイズを規定しています。ここでは、SDカード/microSD（DIN66399では「Electric data medea」に分類）の物理破壊サイズについて、DIN66399の規定をご紹介します。

今回のSDカードに保存されていたデータが顔写真で、それは日本の個人情報保護法の定義に照らし合わせると「個人情」であることから、セキュリティレベル４に相当すると判断できるでしょう。そうすると、これを物理破壊によってデータ消去するとなれば、「30m㎡以下のサイズに物理破壊しなければならない」ということになるわけです。

小さなメモリーチップ内に情報が保存されるSDカード/microSD、このように世界規格を参照すると、データの削除にも細心の注意が必要であることがよく分かります。

はい、当社が製造している純・国産のマルチメディアシュレッダー・マイティセキュリティシリーズであれば、対応できます。