データ保持・廃棄とは？ポリシー策定・安全な削除・事例をわかりやすく解説

📖

Overview

データ保持・廃棄（Data Retention & Disposal）とは、組織がデータのライフサイクル全体を通じて、データの保存期間を定め、不要になったデータを安全かつ確実に廃棄するための管理プロセスです。法令遵守、セキュリティリスクの低減、ストレージコストの最適化を目的として、データの種類ごとに適切な保持期間と廃棄方法を定義します。

データ保持ポリシーは、「必要な期間だけ保持し、不要になったら確実に廃棄する」という原則に基づいています。GDPRの「ストレージ制限の原則」やPCI DSSのカードホルダーデータの保持要件など、多くの規制がデータの保持期間と廃棄に関する具体的な要件を定めています。これらの要件を遵守しない場合、制裁金やブランド毀損のリスクが生じます。

近年のデータ爆発的増加に伴い、データ保持・廃棄の管理はますます複雑化しています。クラウドストレージ、SaaS、バックアップシステム、アーカイブシステムなど、データが分散する環境では、すべてのデータのライフサイクルを統合的に管理する仕組みが不可欠です。適切なデータ保持・廃棄戦略は、データ侵害時の影響範囲を最小化し、セキュリティ態勢の強化にも直結します。

🔬

Details

データ保持ポリシーの策定

データ保持ポリシーは、データの種類（個人情報、財務データ、業務記録など）ごとに保持期間を定める文書です。策定にあたっては、法的要件（税法、労働法、業界規制）、ビジネス上の必要性、訴訟ホールド（Legal Hold）の可能性を総合的に考慮する必要があります。

保持期間の設定では、法令で定められた最低保存期間を満たしつつ、不必要に長期間保持しないことが重要です。データの保持期間が長いほど、データ侵害時の影響範囲が拡大し、ストレージコストも増加します。日本では、法人税法による帳簿書類の7年保存、労働基準法による労働関係記録の5年保存など、法定保存期間が定められています。

安全なデータ廃棄の方法

データ廃棄においては、データが復元不可能な状態にすることが求められます。物理的破壊は、ハードディスクのシュレッディングやデガウス（消磁）、光学メディアの粉砕など、記録媒体自体を物理的に破壊する方法です。最も確実な方法ですが、記録媒体を再利用できなくなります。

暗号化消去（Cryptographic Erasure）は、暗号化されたデータの暗号鍵を破棄することでデータを復元不能にする方法です。SSDやクラウドストレージなど、物理的な上書きが困難な環境で特に有効です。NIST SP 800-88ガイドラインでは、メディアの種類に応じた適切なサニタイゼーション方法（Clear、Purge、Destroy）を定義しています。

バックアップとアーカイブの管理

データ廃棄において見落とされがちなのが、バックアップとアーカイブに残存するデータです。本番環境からデータを削除しても、バックアップテープやアーカイブストレージに古いコピーが残っている場合、データは完全に廃棄されたとは言えません。

バックアップの保持期間もデータ保持ポリシーと整合させる必要があります。世代管理されたバックアップでは、最も古い世代が自然に上書きされるまでの期間を考慮に入れた設計が求められます。また、バックアップからの選択的なデータ削除は技術的に困難な場合が多いため、バックアップの保持期間そのものを適切に管理することが重要です。

クラウド環境におけるデータ廃棄

クラウド環境では、データの物理的な所在を組織が直接管理できないため、データ廃棄に固有の課題があります。クラウドプロバイダーのデータ削除ポリシーを確認し、論理削除後に物理的にデータが上書きされるまでの期間を把握する必要があります。

マルチテナント環境では、データの完全な物理的分離が保証されない場合があり、暗号化消去が推奨されます。また、クラウドサービスの解約時やプロバイダー変更時のデータエグレス（搬出）と残留データの廃棄についても、契約段階で明確に合意しておくことが重要です。

訴訟ホールドとコンプライアンス

訴訟ホールド（Legal Hold）とは、訴訟や調査の可能性がある場合に、関連するデータの廃棄を一時停止する法的義務です。訴訟ホールドが発動された場合、通常のデータ保持ポリシーに基づく自動廃棄を停止し、関連データを保全しなければなりません。

訴訟ホールドの管理は、法務部門とIT部門の緊密な連携が必要です。ホールド対象のデータ範囲を正確に特定し、関連するすべてのシステム（メール、ファイルサーバー、チャットログ、バックアップなど）で廃棄プロセスを停止する仕組みが求められます。ホールドの解除時には、通常の保持ポリシーに基づく廃棄プロセスを再開します。

🛡️

Security Measures

01
データ分類に基づく保持ポリシーの策定：データの種類・機密度・法的要件に基づいて分類し、各分類に適切な保持期間を設定してください。法務部門と連携し、法定保存期間と業務上の必要性の両方を考慮したポリシーを策定しましょう。
02
自動化された廃棄プロセスの実装：保持期間満了後のデータ廃棄を自動的に実行する仕組みを構築してください。手動での廃棄に依存すると、作業漏れや遅延のリスクが高まります。廃棄前の承認ワークフローも組み込みましょう。
03
NIST SP 800-88準拠のサニタイゼーション：メディアの種類とデータの機密度に応じて、Clear（上書き消去）、Purge（高度な上書きまたは暗号化消去）、Destroy（物理的破壊）のいずれかを適用してください。SSDにはSecure EraseコマンドまたはCryptographic Erasureを使用しましょう。
04
バックアップ・アーカイブの保持期間管理：バックアップとアーカイブの保持期間をデータ保持ポリシーと整合させてください。バックアップの世代管理を適切に設定し、保持期間を超えたバックアップが確実に廃棄されるよう管理しましょう。
05
訴訟ホールド管理体制の整備：訴訟ホールドの発動・管理・解除のプロセスを明確に定義してください。ホールド対象データの範囲を迅速に特定し、関連するすべてのシステムで自動廃棄を停止できる仕組みを整備しましょう。
06
廃棄記録の保持と定期監査：すべてのデータ廃棄について、対象データ、廃棄方法、廃棄日時、実施者を記録した廃棄証明書を作成してください。定期的な監査により、ポリシーの遵守状況とプロセスの有効性を検証しましょう。

⚠️

Incidents

📋 Morgan Stanley 旧機器のデータ廃棄不備（2020年）

2020年、Morgan Stanleyはデータセンターの廃止に伴い旧サーバーとハードディスクを廃棄委託業者に引き渡しましたが、委託業者がデータの完全消去を行わずに機器を転売していたことが判明しました。これにより、顧客の個人情報や口座情報を含むデータが第三者の手に渡る可能性が生じました。

SECはMorgan Stanleyに対して3,500万ドルの制裁金を科しました。この事例は、データ廃棄の外部委託における監督責任の重要性と、廃棄プロセスの検証体制の必要性を浮き彫りにしました。物理的な廃棄証明の取得と第三者監査が不可欠であることが業界全体に認識されました。

📋 英国NHS 患者データを含むHDDの不適切廃棄（2013年）

2013年、英国のNHS（国民保健サービス）の複数の医療機関で、患者の医療記録を含むハードディスクが適切に消去されずに廃棄されていたことが発覚しました。一部のハードディスクはオンラインオークションで販売され、購入者が患者の診療記録にアクセスできる状態でした。

ICO（情報コミッショナー事務局）は関係する医療機関に対して制裁金を科し、データ廃棄プロセスの見直しを命じました。医療データという機微性の高いデータの取り扱いにおいて、廃棄プロセスの厳格化とサプライチェーン管理の重要性が再認識されました。

📋 不適切なデータ保持による情報漏洩の拡大（2019年）

2019年、ある大手ホテルチェーンがサイバー攻撃を受けた際、保持ポリシーの不備により、本来廃棄されているべき数年分の過去の宿泊客データが漏洩しました。攻撃者がアクセスしたデータベースには、すでにサービスを利用していない顧客のパスポート番号やクレジットカード情報が保持されたままでした。

適切なデータ保持ポリシーが運用されていれば、漏洩する個人情報の件数は大幅に削減できたと分析されています。この事例は、不要なデータの長期保持がデータ侵害時の被害を拡大させるリスクを明確に示しており、データミニマイゼーション（最小化）原則の重要性を強調しています。

🔗