PCの不適切な処分が引き起こすデータ漏洩リスク｜過去の事例と対策

「消したつもり」が最も危ない

法人PCの処分で一番怖いのは、データを消去したと思い込んでいて、実は残っていたケース。Windowsの「このPCを初期状態に戻す」は見た目上クリーンになるが、市販の復元ソフトで3分もあればファイルが取り出せる。

これは技術的な話ではなく、実際に事件になっている話だ。

実際に起きた漏洩事例

神奈川県HDD流出事件（2019年）

神奈川県庁がリース返却したサーバーのHDD 18本が、データ消去を委託された業者の従業員によってネットオークションで転売された。HDDには個人情報を含む行政文書が大量に残っていた。購入者が復元ソフトでデータを確認し、報道機関に通報して発覚。

この事件の問題点は2つ。消去を委託した業者の管理体制が杜撰だったこと。そして、県側が消去完了を確認する仕組みを持っていなかったこと。ADEC認定の消去証明書があれば、少なくとも「消去されたかどうか確認できない」という事態は防げた。

中古PC転売による顧客情報流出

ある中堅企業が買い替え時に旧PCを未消去のまま中古業者に売却。購入した第三者がHDDからExcelの顧客リスト（氏名・住所・電話番号5,000件超）を復元し、名簿業者に転売された。企業は個人情報保護委員会への報告義務が発生し、対象者全員への通知とお詫び対応に追われた。

廃棄業者の不正転売

「確実に破砕処理します」と説明していた廃棄業者が、実際にはPCを東南アジアに横流ししていた事例もある。マニフェスト上は「破砕処理済み」となっていたが、現地でデータが抜き取られていた可能性が指摘された。

損害賠償額の目安

情報漏洩が発生した場合のコストは、想像以上に大きい。

• 個人情報1件あたりの損害賠償：判例では1人あたり5,000〜35,000円（内容による）
• 5,000件の顧客情報が流出した場合：2,500万〜1億7,500万円の損害賠償リスク
• JNSA調査による情報漏洩1件あたりの平均損害額：6億3,767万円（2018年調査）
• 間接コスト：弁護士費用、フォレンジック調査費、コールセンター設置、信用失墜による取引停止

PC1台の買取額が1万円として、50台で50万円。一方、情報漏洩1件の損害額は数千万円から数億円。この非対称性を理解していれば、データ消去にコストをかけることの合理性は明白だ。

2022年改正個人情報保護法の影響

2022年4月施行の改正で、法人に対する罰金の上限が1億円に引き上げられた。また、情報漏洩が発生した場合の個人情報保護委員会への報告と本人通知が義務化された。

従来は「報告は努力義務」だったものが、改正後は「報告しなければ罰則」に変わっている。PC処分時のデータ消去の不備は、法律違反に直結するリスクになった。

対策：ADEC認定消去で「証拠」を残す

データ漏洩リスクへの対策は、結局のところ「確実に消去し、その証拠を残す」に尽きる。

ADEC（適正消去実行証明協議会）認定は、NIST SP 800-88準拠のデータ消去が適正に行われたことを第三者が検証する制度。認定業者は消去プロセスの監査を受けており、1台ごとに消去証明書を発行する。

消去証明書には以下が記載される。

• 消去対象機器のシリアル番号
• 消去方式（ソフトウェア消去 or 物理破壊）
• 消去実施日時
• 消去実施者と検証者

これがあれば、万が一事故が起きた際にも「適正な消去プロセスを経ていた」ことを証明できる。監査対応や取引先への説明でも、ADEC認定の証明書は強力な根拠資料になる。

自社でできる最低限のチェック

業者に委託する前に、社内でも以下を徹底しておくべきだ。

1. 処分対象PCの一覧を台帳で管理する。シリアル番号単位で追跡できる状態にしておく
2. 処分前にBIOSパスワードを解除する。ロックがかかったままだと消去作業自体ができないケースがある
3. 消去証明書の受領を確認し、台帳と突合する。引き渡したPC全台分の証明書が揃っているか必ず照合する
4. 証明書は5年以上保管する。個人情報保護法の時効は3年だが、税務・監査対応も考慮して5年保管が安全