ADEC認定とは｜データ消去の第三者認証がなぜ必要なのか

ADECとは何か——30秒でわかる概要

ADEC（Association of Data Erasure Certification、適正消去実行証明協議会）は、データ消去が適正に実施されたことを第三者として証明する認証制度を運営する団体です。

一言で言うと、「この業者のデータ消去は信頼できます」というお墨付きを出す機関。総務省と経済産業省のガイドラインに沿って設立され、2019年から認定事業者制度を運用しています。

なぜこの認定が必要なのか。法人PCを処分するとき、データ消去は避けて通れません。が、「消去しました」という業者の自己申告だけで、本当に安全か判断できますか？　ADECの認定は、消去プロセスが第三者の目で検証されていることの証明です。

ADECが生まれた背景

2018年12月、神奈川県庁のHDDがデータ消去されないままネットオークションで転売され、個人情報を含む行政データが流出する事件が起きました。処分を委託された業者の社員がHDDを持ち出し、消去せずに売却したというものです。

この事件をきっかけに、総務省と経済産業省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」を改定。データ消去の第三者証明を求める方向性が明確になりました。

ADECはこの流れの中で設立された団体です。「業者に任せた」で終わりではなく、消去が適正に行われたことを第三者が検証し、証明する仕組みを作る。それがADECの存在意義です。

ADEC認定の基準——何を審査しているのか

ADEC認定を取得するには、以下の基準をクリアする必要があります。

消去技術の適正性

使用するデータ消去ソフトウェアまたは消去方法が、NIST SP 800-88（米国国立標準技術研究所のメディアサニタイゼーション・ガイドライン）に準拠していること。具体的には——

• HDDのソフトウェア消去：全セクタへのランダムデータ上書き
• SSDのソフトウェア消去：Secure Erase / Sanitize / Cryptographic Eraseコマンドの実行
• 物理破壊：復元不可能な状態への破壊（穿孔・シュレッダー等）

消去ソフトもADEC側で検証を受ける必要があり、未検証のソフトでは認定が下りません。

消去プロセスの管理体制

消去作業の手順書が整備されていること。具体的には、機器の受入検品→消去実行→消去結果の検証→証明書発行→機器の保管/引渡しまでのフローが文書化されていることが求められます。

属人的な作業ではなく、誰がやっても同じ品質の消去が実行できる仕組みになっているかどうか。ここが審査のポイントです。

セキュリティ管理

消去対象のPCやストレージを預かっている間のセキュリティ体制。施錠管理、入退室記録、監視カメラの設置、従業員の身元確認——神奈川県庁の事件は「預かった機器を社員が持ち出した」ことが原因でした。ADECの審査では、この種の内部犯行を防ぐ管理体制があるかを見ています。

証明書発行の仕組み

消去証明書にはシリアル番号、消去日時、消去方法、消去結果が記載され、1台ごとに個別発行されること。「まとめて100台消去しました」という一括証明ではなく、1台ずつのトレーサビリティが確保されていることが要件です。

認定事業者に依頼するメリット

1. 消去の「証拠」が第三者保証付きになる

ADEC認定業者が発行する消去証明書は、「第三者が消去プロセスを検証済み」という裏付けがあります。社内で「消去ソフトを回しました」と報告するのとは、証拠としての重みが違います。

情報セキュリティ監査やISMS審査で「処分したPCのデータ消去はどう担保していますか？」と聞かれたとき、ADEC認定の証明書を出せば一発で説明が終わります。自社消去だと「使ったソフトは？」「消去方式は？」「作業ログは？」と深掘りされて、対応に時間がかかることが少なくありません。

2. 個人情報保護法への対応

2022年改正の個人情報保護法では、個人データの漏洩等が発生した場合に個人情報保護委員会への報告と本人通知が義務化されました。罰則も法人に対して最大1億円に引き上げ。

PC処分時のデータ消去が不十分で漏洩が起きた場合、「適正な消去措置を講じていた」と主張できるかどうかが責任の分かれ目になります。ADEC認定業者に委託していた事実は、善管注意義務を果たしていたことの強力な証拠になります。

3. 取引先・クライアントへの説明材料

大手企業やSIer、官公庁との取引では、「データ消去証明書の提出」が契約上の義務になっていることがあります。その場合、ADEC認定の証明書であれば、追加の説明なく受理される。非認定業者の証明書だと、「この業者の消去は本当に適正か？」と確認が入り、やりとりが増えます。

4. 内部統制・ガバナンスの強化

上場企業や上場準備企業にとって、IT資産の処分プロセスは内部統制の対象領域です。「どの業者に、どの基準で、どのように消去を委託しているか」を説明できる体制が求められます。ADEC認定業者への委託は、その説明を簡潔にする手段です。

非認定業者との違い

率直に書きます。非認定の業者が全部ダメだとは言いません。NIST準拠の消去を真面目にやっている非認定業者も存在します。ただし、以下の点で差があります。

非認定業者を選ぶ場面があるとすれば、「データの機密性が低く、消去証明が不要で、コスト最優先」というケースです。それ以外——顧客データを扱っていた、社員の個人情報が入っていた、取引先から証明書を求められている——なら、ADEC認定業者を選ばない理由がありません。

FlashErase——ADEC検証済みの消去ソフト

ADEC認定事業者が使用する消去ソフトの一つが「FlashErase」です。ADECの技術検証を通過しており、SSDのSecure Erase / Sanitizeコマンドに対応しています。

SSDの消去が通常の上書きソフトでは不完全になりうるのは、SSD特有のウェアレベリング（書き込みの均等化制御）が原因です。上書きコマンドを出しても、SSDのコントローラがデータを別のセルに退避させてしまい、旧データが消え残る可能性がある。FlashEraseのようなSSD対応ソフトは、ドライブのファームウェアレベルでSanitizeコマンドを発行し、全セルを初期化するため、この問題をクリアしています。

HDD消去にはblanccoやDiskDeleterなど複数の選択肢がありますが、SSDが主流の法人PC環境では、SSD対応が確実なソフトを使う業者かどうかが重要な判断基準です。

よくある誤解を正しておく

「物理破壊が最も安全だから、全部物理破壊でいい」 — 安全性だけ見ればその通りです。が、物理破壊するとPCは買取に出せません。動作するPCを物理破壊するのは、資産価値を自ら捨てる行為です。ソフトウェア消去でもNIST準拠で実施すれば十分な安全性が確保できるので、買取可能なPCは物理破壊ではなくソフトウェア消去を選んでください。

「消去証明書があれば100%安全」 — 証明書は「適正な消去を実施した」ことの証拠であり、「漏洩が100%起きない」ことの保証ではありません。ただし、万が一のインシデント発生時に「適切な措置を講じていた」と証明できるかどうかで、企業の責任範囲は大きく変わります。

「ADECは国の機関」 — ADECは民間の任意団体です。国が直接運営しているわけではありません。ただし、総務省・経産省のガイドラインに沿った認証制度として位置づけられており、実質的な公的認知は得ています。

ADEC認定は「保険」ではなく「基本装備」

データ消去の第三者認証を「あれば安心」程度に考えている企業はまだ多いです。しかし、個人情報保護法の罰則強化、ISMSやPマーク取得企業の増加、取引先からの証明書要求の増加——こうした流れを見れば、ADEC認定は「あったほうがいい」ではなく「ないと困る」基本装備になりつつあります。PC処分を検討する際は、業者選びの基準にADEC認定の有無を入れてください。