日本におけるセキュリティクリアランス法制化に伴うデータ物理破壊の指針は、2024年5月に成立した「重要経済安保情報の保護及び活用に関する法律」(以下、安保情報保護法)に基づき、今後具体化される予定です。この法律は2025年5月17日までの政令で定める日から施行されるため、現時点では詳細な運用指針やデータ消去手法に関する公式なガイドラインは未公表です。ただし、日本の過去の機密情報管理の慣行や国際的な協調性を考慮すると、予想される指針と手法について推測が可能です。一方、ファイブ・アイズ(米国、英国、カナダ、オーストラリア、ニュージーランド)のデータ消去手法は、長年の情報共有協定(UKUSA協定)に基づき、標準化された厳格な基準が存在します。以下に、日本とファイブ・アイズ諸国の予想される指針および手法を比較します。
日本の予想されるデータ物理破壊指針
法的背景と目的
安保情報保護法は、経済安全保障に関わる機密情報を保護しつつ、国際協力を強化することを目的としています。特に、ファイブ・アイズ諸国との情報共有を視野に入れ、信頼性の高いデータ管理が求められます。
2013年の特定秘密保護法では、機密情報の廃棄について「復元不可能な方法」が求められており、これがベースラインとなる可能性があります。物理破壊はその一環として採用されると予想されます。
予想される手法
物理的破壊の優先: ハードディスクやSSDなどの記憶媒体については、シュレッダーや破壊専用機を用いた物理的破壊が想定されます。これは、データの論理的消去(上書き)だけでは復元リスクが残るためです。
ガイドラインの標準化:
米国NIST(National Institute of Standards and Technology)のSP 800-88(メディアのサニタイズガイドライン)のような国際基準を参考に、破壊方法が具体化される可能性があります。具体的には、粉砕粒子のサイズ基準(例: 数ミリ以下)や焼却処理が含まれるかもしれません。
民間企業への適用:
政府だけでなく、防衛関連企業や共同研究を行う民間企業にも適用されるため、コストと実用性を考慮した現実的な手法が採用されると予想されます。例えば、小規模事業者向けには認定業者への委託が推奨される可能性があります。
課題
日本はファイブ・アイズのような長期的かつ統一された情報保護体制がこれまで不足していたため、初期の指針は保守的かつ段階的な導入となる可能性があります。
国際的な相互認証を目指す場合、ファイブ・アイズ基準との整合性が求められ、物理破壊の厳格さが試されます。
ファイブ・アイズ諸国のデータ消去手法
ファイブ・アイズ諸国は、機密情報の保護において共通の原則を共有し、特に物理的破壊を含むデータ消去手法は高度に標準化されています。
米国
基準: NIST SP 800-88に基づき、機密レベルに応じた消去手法を規定。トップシークレット情報では、物理破壊が必須。
手法: ハードディスクは粉砕機で細断(粒子サイズは2mm以下)、SSDは焼却または破砕専用機で破壊。NSA(国家安全保障局)はさらに厳格なガイドラインを設け、復元不可能を保証。
特徴: 軍事施設や認定業者による一元管理が徹底され、破壊後の検証プロセスも含まれる。
英国
基準: NCSC(国家サイバーセキュリティセンター)が監督し、CESG(現NCSCの一部)の基準を適用。
手法: ディスクの細断(6mm以下)、焼却、または電磁パルス(EMP)による破壊。物理的破壊後、残骸の安全な廃棄が義務付けられる。
特徴: 民間委託も可能だが、政府認定を受けた業者のみが対応。
カナダ
基準: CSE(通信保安局)が管理し、米国とほぼ同等の手法を採用。
手法: 細断(5mm以下)、焼却、または化学的分解。トップシークレット情報では複数手法の併用が推奨される。
特徴: ファイブ・アイズ内での情報共有を前提に、相互運用性が重視される。
オーストラリア
基準: ASD(オーストラリア信号総局)のISM(情報セキュリティマニュアル)に準拠。
手法: 破砕機による細断(3mm以下)や高温焼却。電子媒体以外(紙など)も同様に厳格。
特徴: 環境規制とのバランスを考慮しつつ、セキュリティ優先。
ニュージーランド
基準: NZSIS(ニュージーランド・セキュリティ・インテリジェンス・サービス)が監督。
手法: 米国や英国と同様、細断(5mm以下)や焼却が主流。規模が小さいため、他国との協力を活用。
特徴: ファイブ・アイズ内で最小規模だが、基準は他国と一致。
比較と分析
厳格さ
ファイブ・アイズ: 機密レベルに応じた明確な基準があり、特にトップシークレットでは物理破壊が必須。粒子サイズや破壊後の検証まで規定。
日本(予想): 特定秘密保護法では「復元不可能」とあるが、具体的な粒径や手法は未定。初期はファイブ・アイズほど厳格でない可能性があるが、将来的に近づく努力が予想される。
標準化と国際協調
ファイブ・アイズ: UKUSA協定に基づく統一基準があり、相互認証が確立。情報共有の前提としてデータ消去手法も整合。
日本: 国際協調を目指すものの、現時点では独自基準。ファイブ・アイズとの連携強化には、NISTやNCSC基準の部分採用が必要とされる。
実用性とコスト
ファイブ・アイズ: 大規模な政府・軍事インフラを活用し、高コストでもセキュリティ優先。
日本: 民間企業への適用を考慮し、低コストで実行可能な手法(例: 委託処理)が優先される可能性。初期投資や運用体制の構築が課題。
技術的アプローチ
ファイブ・アイズ: 物理破壊に加え、電磁パルスや化学処理など多様な選択肢。
日本: 当面は破砕や焼却が中心と予想され、先端技術の導入は後回しになる可能性。
結論
日本のセキュリティクリアランス法制化に伴うデータ物理破壊指針は、特定秘密保護法を基盤にしつつ、国際基準(特にNIST)を参考に構築されると予想されますが、初期段階ではファイブ・アイズ諸国ほど厳格かつ多様な手法は採用されない可能性が高いです。ファイブ・アイズ諸国は、長年の経験と情報共有の必要性から、粒径基準や検証プロセスまで詳細に規定しており、相互認証を支える高い一貫性を持っています。日本が将来的にファイブ・アイズとの情報共有を深化させる場合、データ消去手法の標準化と厳格化が不可欠となり、特に物理破壊の具体性(例: 粒径基準の明記)や検証プロセスの強化が求められるでしょう。現在の情報では、日本の詳細な指針は未確定ですが、施行後の動向に注目が必要です。
監修:日東ホルカム株式会社
代表取締役:唐鎌益男
文書管理番号:HK254021