2016年1月より全国民に番号を振り当てるマイナンバーが実施される。これにより個人のみならず法人がマイナンバーを管理することになり、様々な問題点が顕在化してくる。まず民間企業は従業員のマイナンバーを収集管理しなければならない。そのためには特定個人情報の漏洩や消失などを防ぐために安全管理措置が求められる。もし企業が管理しているマイナンバーが流失した場合は「4年以下の懲役もしくは200万円以下の罰金、またはこの両方が課せられる」という厳しい罰則規定が待っている。
企業が収集したマイナンバーはハッカーの恰好の攻撃対象であり、またサイバーテロの標的にもなりうる。これに対抗するための最も有効な手段はデータセキュリティ専門家によれば、マイナンバーを信頼のおけるクラウドサーバーで管理して、PC内には残さないという管理方法だという。これならPCを乗っ取られても、サーバーへアクセスするパスワードをロックすればマイナンバーにアクセスできない。PC内で使用したマイナンバーはゴミ箱に捨て、ゴミ箱を空にすればいいのだろうか? もちろんこれではダメなのだ。
マイナンバーガイドラインではマイナンバーの破棄には「専用データ削除ソフトウェアの利用又は物理的破壊などにより、復元不可能な手段を採用する」と記載されている。するとある疑問が浮上する。専用データ削除ソフトで削除したマイナンバーはデータ復元ソフトで復元できるのか?
大相撲の八百長問題でも活躍
データ復元ソフト15年間連続復元シェアNo.1を誇るのがAOS「ファイナルデータ」である。このAOSテクノロジーズ社が2012年にデータ復旧サービスの新事業としてAOSリーガルテックを興した。そこから発売されたのがマイナンバー用の「電子シュレッダー」である。つまり、最強の復元ソフトと最強の削除ソフトが揃ったわけである。
「当社の顧客は民間企業だけでなく、警察からの協力要請により隠滅された証拠データの復元作業をおこなっているプロ集団です。2011年に現役の力士による八百長行為が発覚して、春場所が中止になるという事件がありました。あの事件は前年におきた大相撲野球賭博問題の捜査で、力士たちから約50台の携帯電話を押収、そのメールを解析した結果発覚したものです。押収した携帯電話は破壊されていたり、証拠となるメールは事前に消去されていましたが、データ復元作業により復元しました」とAOSテクノロジー社代表取締役、佐々木隆仁氏は語る。
このケースのようにデータをゴミ箱に捨てて、空にしただけでは実際のデータが削除されることはない。ではクイックフォーマットしたらどうだろう。
AOSテクノロジーズ社代表取締役佐々木隆仁氏(©Naonori Kohira)「PCの中でデータとデータ管理情報は別々の場所に保存されています。データをゴミ箱に移動すると管理情報のみが移動します。ゴミ箱を空にすると管理情報に削除マークが付いて、PC上から見えなくなります。HDDの空き容量が少なくなると削除マークの付いたデータは上書きされますが、それまでは保存されたままです。
クイックフォーマットすると管理情報だけが完全に削除されます。この状態でも専門家の手にかかればデータは発見可能です」
それでは「電子シュレッダー」はどんな方法でデータを削除するのだろう。
「削除したデータ本体を乱数などの別のデータで上書きして抹消させる方法を使っています。実はこれ2004年のライブドア事件で、同社がメールサーバーのデータを削除するために使った方法とされており、これによって5万通のメールのデータが復元不能になりました。しかし、特捜部は幹部間でやりとりされたPCや携帯のメールが削除されたり、データが不自然に書き換えられた痕跡を見つけて悪質な証拠隠滅工作としたのです」
つまり、「電子シュレッダー」で削除したデータは「ファイナルデータ」で復元することはできない。
「そうですね、電子シュレッダーは設定でレベル1からレベル7まであり、上書きの回数を1回から、NSA(アメリカ国家安全保障局)方式の3回、アメリカ国防総省方式拡張の13回、最大36回まで選べます。レベル1で一般的なデータ復元ソフトでの復元が困難に、レベル5以上を選択すれば専門家でもデータ復元は難しいでしょうね」
