セキュリティポリシに従った運用（廃棄処理）：情報セキュリティアドミニストレータ試験対策

>・ハードディスク内を消去ツールを使用して完全クリアを行なった後に廃棄処分を行なう。
>・確実に消去が行なわれたか確認を行なう。

>デスクトップ内のメモリやHDに含まれる情報資産が漏洩しない事を目的
>として、社内担当者がデータ消去ツール等を活用し、PCに含まれる
>情報資産を完全に消去した後、下取り業者へPCを販売する。

>下取りに売却するパソコン内部に残っている機密情報が、復元不可能な
>状態に消去すること。

>データの復元ができないように物理的に完全廃棄処理を行うこと。
>別の業者に再委託をせず、自己完結で廃棄処理を行うこと。

>廃棄する前に記憶媒体からディスクイレーサなどを使用し、
>完全に消去するよう指示

　売却した中古パソコンや廃棄したパソコンのハードディスクから
　重要データが漏えいするというリスクが考えられます。
　ハードディスクを電子化情報の漏えいを完全に防ぐ措置を講じる方法として、
　消去用ソフトの使用、強力な磁気を発生させて読取り不能にする、
　物理的に破壊するという３つがあります。

　ハードディスク内の電子データの重要度に応じて手段を選定する必要があります。
　セキュリティポリシには具体的に記述されていないので上記３つのいずれかの方法で
　対策が取られていればよいでしょう。

>・機密保持契約を締結する事。
>・確実に機密保持が守られている事を確認する事。

>選定時では、業者の情報セキュリティに関する取り組みを調査し、
>業務の担当者が有する資質について評価する。契約時については、
>情報資産の機密保持契約を書面等で結び、業務を行う者に明示すること。
>契約内では販売したPC内に含まれる情報資産の第３者への
>情報漏えいに関して防ぐことと明示する。また、情報漏えいが発覚した
>場合に情報資産の重要度に応じて保障する内容を定義しておく。

>選定に当たっては下取り業者の情報セキュリティポリシーが自社の情報
>セキュリティポリシーと均衡のとれるレベルで定められていることを確認し、
>契約に当たっては具体的なデータ消去方法を契約条項に盛り込むことで、
>機密情報が外部に漏洩しないことを確実にする。

>下取り業者が自社内でセキュリティポリシを制定していること。
>下取り業者との間で守秘義務契約を締結すること。

>間接契約などは行わず、必ず該当の会社と廃棄業者は直接契約を結ぶ

　パソコン売却、廃棄や業務の外部委託に関する委託先の管理については
　下記サイトを参考にしてください。

　http://enterprise.watch.impress.co.jp/cda/topic/2003/10/23/337.html

　委託先の管理に関する３項目はとても重要です。
　１．秘密保持契約の締結
　２．議事録作成及び事後チェック
　３．誓約書の提示

>私が知っている企業では、各種データ処理等を委託する業者には、
>その企業が指定したセキュリティ研修の受講を義務付けています。

　情報資産のライフサイクルの中で、自社の組織で管理可能か否かで
　セキュリティレベルが変わってきてしまいます。
　委託業者にもセキュリティ研修を受講して周知徹底するのは良い対策だと思います。
　外部委託に関して管理されていれば、インシデント発生時、事故として捉えられ、
　企業の信用失墜、損害賠償責任等が問われるリスクを回避することができます。