データ消去の国際規格 NIST SP 800-88 をわかりやすく解説(Clear / Purge / Destroy)

Published on 2025年12月13日 ブログ

データ消去の国際規格 NIST SP 800-88 をわかりやすく解説(Clear / Purge / Destroy)

端末の廃棄・返却・売却のたびに問題になるのが「消したつもりのデータが復元される」リスクです。
そこで参照される代表的なガイドラインが、米国国立標準技術研究所(NIST)の NIST SP 800-88(Media Sanitization)です。

この記事でわかること(要点)

  • NIST SP 800-88 が示す「媒体のサニタイゼーション」の考え方
  • 3つのレベル(Clear / Purge / Destroy)の違いと選び方
  • 社内再利用・社外譲渡・廃棄の各シーンでの判断軸
  • 監査・コンプライアンスのために残すべき記録(ログ/証明)

NIST SP 800-88 とは

NIST SP 800-88 は、HDD/SSD/モバイル端末/リムーバブル媒体などの「保存媒体」を、
目的に応じて安全に無害化(サニタイゼーション)するためのガイドラインです。
重要なのは、単に「初期化した」「削除した」ではなく、脅威モデル(誰がどの程度復元できるか)
媒体特性(HDD/SSD/暗号化の有無)に基づいて手段を選ぶ点です。

3つの消去レベル(Clear / Purge / Destroy)

1) Clear(クリア)

論理的な方法で、一般的なソフトウェア復元の可能性を下げるレベルです。
例としては、全領域の上書きや、OSが提供する安全消去機能の活用が含まれます。

  • 向くシーン: 社内での再利用、機密度が低〜中のデータ
  • 注意点: SSD/暗号化の状態など、媒体によって適切な手段が変わります

2) Purge(パージ)

より強い復元能力(高度な解析)を想定し、媒体特性に適した方法で復元可能性をさらに下げるレベルです。
SSDでは Secure Erase 等の媒体固有コマンドや、暗号化消去(Cryptographic Erase)が判断材料になります。

  • 向くシーン: 社外への譲渡・売却、個人情報や機微情報を含むデータ
  • 注意点: 手段の選定を誤ると「消したつもり」になりやすい領域です

3) Destroy(デストロイ)

物理破壊などにより、媒体そのものの再利用を前提にしないレベルです。
最終廃棄で、復元可能性を実務上ゼロに寄せたい場合に検討されます。

  • 向くシーン: 再利用しない廃棄、極めて高い機密性が求められるケース
  • 注意点: 物理破壊の運用(回収・証跡・立会い等)も含めて設計が必要です

企業が消去レベルを選ぶための判断軸

  • データの性質: 個人情報・顧客情報・契約情報・営業秘密など
  • 持ち出し範囲: 社内再利用か、社外譲渡/委託先返却か
  • 媒体: HDD/SSD/スマートフォン/タブレット/外付け/サーバー
  • 証跡要件: 監査・取引先要求・社内規程で「証明」が必要か

監査・コンプライアンスで重要になる「証跡」

何を、いつ、誰が、どの機器に対して、どの方法で実行し、結果がどうだったか。
この情報が整理されているほど、監査対応・トラブル対応・取引先説明がスムーズになります。

  • 実行ログ(対象識別子/方式/結果/エラー)
  • 作業者・作業場所・台帳との紐付け
  • 必要に応じた消去証明書(PDF等)

よくある質問(FAQ)

Q. 初期化や削除では不十分ですか?

一般に、通常の削除や初期化は「復元できないこと」を保証しません。
目的と媒体に応じて、適切な消去方式と検証・記録が必要です。

Q. SSDは上書きすれば安全ですか?

SSDは書き込み制御の特性がHDDと異なるため、上書きだけで意図通りに全領域へ反映されないケースがあります。
Secure Erase や暗号化消去など、媒体特性に沿った方法の検討が重要です。

次のアクション

運用に合わせた消去方式・証跡設計が必要な場合は、まず要件(媒体/台数/返却フロー/証明要否)を整理してください。
料金や導入の流れは、料金プランお問い合わせ から確認できます。