データ復旧の安全性について

たとえ非常事態といえども、大切なデータが一杯つまった記録メディアを見ず知らずの他人に預けることには抵抗があるかと思います。

  • 秘密のデータが漏れてしまうのではないか?
  • ライバルにデータを売られてしまわないか?
  • 見られると恥ずかしいデータがある!
  • 内緒のデータを見られて脅されるのでは?

重要なデータを預ける以上、データ復旧業者選びは大変重要なことです。
海外ではパソコン修理店が顧客のハードディスクに保存されていたプライベート動画を勝手に流出させた事例も発生しています。

データ復旧業は特別な免許もいらなければ、許可や届出も必要ありません。
だれでも簡単に参入し、自由に営業できます。

信頼できる業者を探しているお客様としては、何の許認可も基準もない業界なので、その選定が難しいのではないでしょうか。
そこで、当社ではお客様に安心してお任せいただくために、次の取り組みを行っています。

情報セキュリティへの取り組みと特長

情報セキュリティに対する当社独自の「3つの取り組み」とその特長をご紹介します。

法律による守秘義務を課せられています

当社は国家資格である「情報処理安全確保支援士」の業務としてデータ復旧を受任します。
普通のデータ復旧業者や家電量販店のサポートカウンター、パソコン修理店などでは「秘密を守ります」と言っても「約束」にすぎず、たとえ約束が破られたとしても何の罰則もありません。

一方、情報処理安全確保支援士には法律により「秘密保持義務」が課せられています。
この秘密保持義務は罰則規定があり、情報を漏らすと罰金・懲役まである大変厳しいものです。

本来、データ復旧は資格がいらないビジネスですが、お客様には大きな安心感につながるかと思い、あえて厳しい罰則がある支援士業務としてデータ復旧を行っています。

※情報処理安全確保支援士は平成29年に新設された国家資格で、情報セキュリティの専門家です。データ復旧は情報セキュリティのフォレンジックス分野に含まれます。試験に合格し、登録した者以外は情報処理安全確保支援士を名乗ることはできません。

riss_security

情報処理安全確保支援士
登録番号000079
宮澤 謹徳(代表取締役)

国際規格に則った情報セキュリティが整っています

よく「セキュリティは警備会社と契約しているから万全だ」などという記載をみかけますが、本当に安心といえるのでしょうか。

外側だけ守りを固めても安全とは言えません。
どんな危険性があるのか、どんな対策があるのか正しく理解していなければ、情報を守ることはできません。

情報セキュリティには「ISO27001」という国際的な基準があります。
当社は、認証機関の審査により、国際規格に則った情報セキュリティ対策を実施していることを認証されています。

ISO27001は2007年にデータ復旧業者として当社が国内で初めて取得し、引き続き10年以上継続して認証されています。

国家試験に合格した者だけがお客様のデータを扱います

当社では「情報処理技術者」の国家試験に合格した者以外は復旧業務を行わせていません。

データはウィルスなどによる流出もありますが、知識がない従業員から流出してしまうことが多くみられます。
当社では毎年一回以上、社内試験を行い、かつ国家試験を受けることにより力量を維持させています。
情報セキュリティに関する知識と力量がない者、それを証明できない者には一切お客様のデータには触れさせません。

お客様とのお約束

当社はお客様のデータを
流出させません

お客様のデータはインターネットから完全に切り離された空間でのみ取り扱います。
経路がないためデータが流出する心配はありません。

見ません

品質確認のため、全く見ないというわけにはいきませんが、その際も極力内容は見ないようにしています。
(知ってしまった記憶を消すことはできないためです。)

関知しません

たとえ、データの内容がどのようなものであったとしても一切関知しません。
単なる「ファイル」として扱います

確実に消します

お客様データが保存された作業用の機器は規定期間満了後、米国国防総省規格にで確実に消去します。
処理後はどんな手段でも復旧できません。

情報セキュリティにこだわっている理由

当社では情報セキュリティについて、強いこだわりをもって取り組んでいます。
今から十数年前、データ復旧サービスを始めた頃、こんなことがありました。

一人のお客様が訪れました。
ノートパソコンに大事なデータが入っているので復旧してほしい。
とのご依頼でした。

「大事なデータが入っているので、流出などの事故が心配なのだが、情報セキュリティはどうなっていますか?」
と質問されました。

私は「万全です!」と答えました。

「どのように万全なのですか?」

「秘密保持契約も結べますが・・・」

「うーん、そういう形式的なことじゃなくて、
たとえばレストランだったら食中毒を出さないように、毎日清掃を行うとか、害虫駆除を入れるとか、
そういった取り組みみたいなのがあるでしょう?」

「毎日アンチウィルスソフトが動いていますよ、警備会社とも契約していますし・・・」

「いやいや、アンチウィルスソフトが動いるから万全ということはないでしょう。
そんなの私の家のパソコンにも入ってますよ。
実際、なんの対策もされていないんじゃないですか?
データが漏れたらどうするのですか?
ちょっとこれでは大事なデータをお任せすることはできませんね。」
とお帰りになりました。

なぜ、こんな重箱のスミをつつかれなくてはならないのか、しっかりやっているのに・・・
と憤慨した覚えがあります。

自宅に帰り、冷静に振り返ってみました。

「・・・・しっかり、ってなんだ?」

何をもってしっかりやっていると言うのだ?
自分がしっかりやっていると思い込んでいるだけではないのか?
お客様に図星を言われたから腹が立ったのではないか?
もっともらしいことを言って何もしていないではないか!

・・・・・反省しました。

よし!それなら
絶対に安全だと胸を張って言い切れる態勢をつくってやろうじゃないか!
絶対に漏れてはいけないデータを扱えるようになろうじゃないか!

ここから本格的な取り組みが始まりました。
2004年の頃です。

そして、2年にわたる準備を行い2007年にISO27001の適合性審査を受け、当社のセキュリティは国際基準に基づいていると認証されました。

データ復旧事業者としては国内で初めてのことでした。
(余談ですがその数ヶ月後、別のデータ復旧会社が取得しましたが、
1位を逃してよほど悔しかったのかホームページに「”大手”データ復旧会社として国内初」と記載していたので、
すぐに電話してやめてもらいました。そりゃないですよね。)

担当した主任審査員に
「私が担当した企業のなかで最小規模で、そして最も活用されている会社です!」
とまでおっしゃっていただけたのは嬉しかったです。

それから私自身も情報処理技術者国家試験「情報セキュリティスペシャリスト」を受け合格しました。
自分が監督する立場として、情報セキュリティに対する「力量」を持っているのか確認し、証明したかったのです。
(この情報セキュリティスペシャリストも技能認定だったものが「情報処理安全確保支援士」という国家資格となりました。)

今では情報セキュリティに関する情報処理技術者国家試験に合格した者でないと、お客様データを扱わせないようにしています。

情報セキュリティは精力的に取り組んでも、お客様が押し寄せたり、儲かるわけではありません。
お客様も「当然しっかりやってるだろう」と思い込まれているからあまり気にされないのでしょうか。
セキュリティ対策をやっていないに等しい業者も少なくありません。安全にはコストがかかるからです。

当社は早い段階でお客様にヒントをいただき、このビジネスは情報セキュリティがキモであることに気づけました。価格だけでなく、安全性もしっかり見極め、ご指名いただけるお客様のために、情報セキュリティへの取り組みを継続的に続けてまいります。