データ流出や漏洩が囁かれるようになると、多くの企業経営者は金銭的・法的な影響から不安を募らせます。テクノロジーの進歩が悪意のあるサイバーアクターの増加をもたらしていることを考えると、企業のデータ破壊ポリシーを確立することは極めて重要である。
IBMが最近発表した、17カ国・地域の17業種が関与する世界的なデータ漏洩に関する報告書によると、データ漏洩の推定平均コストは424万ドル。米国だけの平均コストは905万ドルで、群を抜いて高い。つまり、企業データの取り扱いを甘く見ていると、機密情報が悪意あるハッカーの手に渡るのを防ぐのに必要なコスト以上の犠牲を払うことになるということだ。
幸いなことに、効率的なデータ破棄ポリシーを確立することは、ビジネスを危険から守るための最も安価で効果的なアプローチのひとつです。データ破棄ポリシーとは何なのか、どのように企業のデータを保護するのか?このガイドでは、このような疑問にお答えするとともに、企業のデータを安全に保護するために知っておきたいその他のトピックについても説明します。
データ破壊は、デジタル・ストレージ・デバイス上の機密データを除去するために企業が採用するすべての手段を包含する。記憶装置には、電話、ハードディスク・ドライブ、コピー機、ノートパソコン、ソリッド・ステート・ドライブ(SSD)、テープ、その他データを保存できる電子機器などがある。企業にとって、データ破壊は単にファイルやフォルダを削除するだけではない。
ファイルやフォルダを削除すると、ストレージデバイス上のその場所につながるパスが削除されるだけです。専用のソフトウェアがなければファイルに簡単にアクセスすることはできませんが、削除されたファイルは新しいファイルが上書きするまでドライブに残ります。デジタルに詳しい人物は、あなたのビジネス、顧客、従業員に関する情報を素早く復元し、悪用することができます。
したがって、データ破壊は、いかなる形であれ復元を防ぐために徹底的でなければならない。永続性を保証するために、企業は通常、デゴーシング、データ・ワイプ、上書き、シュレッダー、ストレージ・メディアの物理的破壊など、さまざまな高度な破壊技術を採用している。
明確にするために、データ破棄はデータ・サニタイゼーションとは異なる。どちらも機密データを適切に廃棄する手続きですが、データ・サニタイゼーションはデータ・ストレージ・デバイスの再利用を優先します。磁気メディア・ストレージ・デバイスは、ストレージ・デバイスを再利用するのに十分な状態に保ちつつ、データの保持を防ぐためにデータ・サニタイズが好まれます。
データ破棄の方針と実行は、米国内のすべての企業に通知され、綿密に監視され、法律で施行されている。例えば、ハードディスクの焼却は、米国国立標準技術研究所(NIST)が提供するガイドラインに従っている。
実際、アメリカのほとんどの業界では、国防総省が定めたメディア・サニタイジングの基準に従った破棄手順がとられている。企業は、法的枠組み内にとどまるために、以下の行為に注意する必要がある。
さらに、州にはデータ破棄を規定する法律がある。連邦取引委員会(FTC)法と医療保険の相互運用性と説明責任(HIPAA)法は、人々のPIIビジネスと組織を保護する、より新しい法律です。
情報技術の進歩は、ビジネスのあり方に大きな影響を与えている。そのため企業は、顧客の個人を特定できる情報(PII)を取り扱うための適切なセキュリティポリシーや手順を確立する必要がある。
データ破棄ポリシーとは、企業がストレージ・デバイスからデータを完全かつ安全に削除するために確立するプロトコルである。その目的は、非効率的な削除による個人情報の悪用や不正アクセスを防ぐことです。効率的なポリシーは、どのような形であれデータの保持を防ぎ、機密データのサニタイズ、消去、完全な廃棄を保証します。
企業は、現行のデータ破棄法に従い、顧客のデータを保護するために以下のものを破棄しなければならない:
効率的なデータ破棄によって顧客や従業員のデータを保護する積極的なアプローチを採用することは、企業にとってさまざまなメリットがある。
まず、包括的なデータ破棄ポリシーは、データ漏洩や企業情報への不正アクセスから企業を守ります。構造的なフレームワークは、異なるデバイスからの異なるデータタイプの破壊を導くパターンを提供し、プロセスを楽に、そして徹底したものにします。
さらに、データ破棄ポリシーは顧客の信頼を高めます。顧客は安心してあなたと取引することができ、販売プロセスにおける躊躇や異議を取り除くことができます。
さらに、データ破棄に対応するポリシーを作成することで、過失による地方法や連邦法違反から企業を守ることができます。
すべてのデータ破棄方針は、役割と責任を定義する包括的な構造から始めなければならない。データ破棄ポリシーは、企業のニーズや状況を反映した構成にする必要があります。ここでは、ポリシーに含めるべき重要な構成要素について説明します。
データ破壊を開始するには、ポリシーまたはポリシー・ステートメント、ポリシー番号、タイトルを紹介するのがベストだろう。
あなたのポリシー・ステートメントには
次に、データ破棄方針は、なぜ会社が作成する必要があるのかを取り上げる必要があります。その目的は、データ破棄に関連する背景、重要性、結果を明確にすることである。また、さまざまな利害関係者にとってのポリシーのメリットも列挙するようにするとよいでしょう。
範囲は、ポリシーの範囲と限界を詳述する必要があります。どの部門や活動が影響を受けるのか、また、その方針がどのように会社を形成していくのかを明確にするのに役立ちます。また、方針の影響を受ける部門、従業員、業務についても、その役割と責任、それらに対する配慮を含めて記載するとよいでしょう。
手続きに関する声明は、データ破棄プロセスで実施すべきプロトコルの具体的な詳細を示すべきである。
その内容は以下の通り:
データ破棄ポリシーを作成し、伝えるだけでは十分ではありません。ポリシーが厳密に守られるように、説明責任プロトコルを含める必要がある。ポリシーの実施は、ポリシーの見直しと更新から始めるべきである。
方針の結果を測定するための適切な定義を含めるべきである。さらに、方針の不遵守に対する結果を、監視・評価システムとともに明確に示す必要がある。
データ破壊ポリシーは、悪意ある行為者による不正アクセスや侵害から企業データを保護します。これにより、ブランドイメージが向上し、顧客からの信頼も高まります。しかし、ほとんどの企業はデータを効果的に破棄する方法を知りません。そこで Phonecheckの出番です。
Phonecheck、コーヒー1杯程度の費用で履歴レポートを購入することで、費用のかかる隠れた問題を回避することができます。当社の業界標準の企業向けソフトウェアは、企業の機密データが様々な記憶装置から売却または廃棄される前に消去されることを保証します。お客様は、機密情報が安全であることを知って、自信を持ってビジネスを行うことができます。
