IT資産の廃棄(ITAD)とデータ消去。情報漏洩リスクを回避する安全な売却方法

「賢者の選択」主筆の一条です。

サーバーの入れ替え、オフィスのPC更新、事業所の統廃合。企業でIT資産の世代交代が発生するたび、情報システム担当者や経営者の頭を悩ませる問題があります。「このパソコンやサーバーには、まだ会社の機密情報や顧客データが残っているかもしれない。だとすれば、売却などせず、確実に廃棄してしまった方が安全ではないか」という判断です。

この判断は、一見すると合理的に見えます。しかし、私はここに二重の誤解があると考えています。ひとつは、単純な初期化や廃棄委託だけでは、実は情報漏洩のリスクを十分に減らせていないという誤解。もうひとつは、正しくデータを消去しさえすれば、廃棄より売却の方が経済的にも環境的にも優れた選択になり得るという事実を見落としている誤解です。

この記事では、IT資産処分(ITAD)とデータ消去の基本的な考え方を整理したうえで、法律やガイドラインが求める消去基準、実際に起きた情報漏洩事例、そして安全性を担保しながら資産価値を回収する売却という選択肢まで、一貫した論理でお伝えします。読み終える頃には、「怖いから捨てる」ではなく「安全を確認したうえで売る」という判断ができるようになっているはずです。

「捨てる」という判断が生む、二重のコスト

まず整理しておきたいのは、IT資産を廃棄するという選択が、実は二重のコストを発生させているという事実です。

ひとつは、産業廃棄物として処分するために直接支払う費用です。企業が事業活動に伴って排出するパソコンやサーバーは、廃棄物処理法上の産業廃棄物に該当する場合があり、収集運搬や処分を委託する際にはマニフェスト(産業廃棄物管理票)による管理が必要になります。台数がまとまれば、この処分費用は決して小さな金額ではありません。

もうひとつが、本来得られたはずの売却益を失うという機会費用です。会計上、使用済みのIT資産は帳簿価額がゼロに近づいていても、中古市場では相応の価値がついていることが珍しくありません。特にサーバー用のCPUやメモリ、高性能なグラフィックボードなどは、購入から数年が経過していても再利用需要が根強く残っています。

つまり「捨てる」という一つの決断は、支出と機会損失という二つの側面から企業の財務にマイナスの影響を与えているわけです。この構造を数字で整理すると、次のようになります。

判断発生するお金の動き見落とされがちな要素
廃棄する収集運搬費・処分費として支出が発生マニフェスト管理などの事務コストも発生する
売却する買取査定額として収入が発生安全なデータ消去が前提条件になる

「安全なデータ消去が前提条件になる」という一点さえクリアできれば、売却は廃棄よりも合理的な選択肢になり得ます。次の章から、その前提条件をどう満たすかを具体的に見ていきましょう。

ITAD(IT Asset Disposition)とは何か。なぜ今、注目されているのか

ITADとは「IT Asset Disposition」の略で、直訳すれば「IT資産の処分」となりますが、実態としては単なる廃棄作業を指す言葉ではありません。データセキュリティを確保しながら、資産としての価値を最大限に引き出し、環境負荷を抑えて資源を循環させるという、複数の目的を統合したマネジメント手法を指します。

この分野への注目度は、ここ数年で急速に高まっています。株式会社グローバルインフォメーションが取り扱う調査会社The Business Research Companyのレポートによれば、世界のITAD市場規模は2025年の206億5,000万米ドルから2026年には230億米ドルへと拡大し、年平均成長率は11.4%に達すると予測されています。調査会社によって市場の定義や推計範囲に幅はあるものの、企業のIT更新サイクルの加速、データセキュリティ規制の強化、そして企業のサステナビリティ施策の拡大が、この成長を後押ししている点は各社の見解が一致しています。

背景のひとつには、2025年10月に迎えたWindows 10のサポート終了もあります。この節目に合わせて多くの企業が一斉にPCの入れ替えを進めており、廃棄すべきか売却すべきかの判断を迫られる台数そのものが、これまでになく増えている時期だと言えます。

「初期化すれば安心」という思い込みが招く情報漏洩

IT資産処分の現場で最も根深い誤解は、「初期化(工場出荷時の状態に戻す操作)やフォーマットをすれば、データは消えている」という思い込みです。

実際には、初期化やフォーマットはファイルの管理情報を消去しているに過ぎず、ディスク上には元のデータがそのまま残っています。無料の復元ソフトウェアを使えば、専門知識がなくても数分でデータを取り出せてしまうケースは珍しくありません。この技術的な事実を知らないまま「初期化したから大丈夫」と考え、廃棄や譲渡を進めてしまうことが、情報漏洩事故の主な原因になっています。

この構造がもたらすリスクは、決して過去の話ではありません。セキュリティ専門メディアのSecurity NEXTが報じたところによれば、米菓メーカーのぼんち株式会社は2025年3月、直営店の会員情報などが保存されたノートパソコンを含む複数台の廃棄を外部業者に委託しましたが、同年4月26日、廃棄されたはずの端末1台が短時間インターネットに接続されたことを社内のセキュリティ監視ツールが検知しました。その後の調査で、委託先における廃棄状況の確認が不十分だったことが判明し、最大で約1万1900件の顧客情報が保存された端末を含む計4台の廃棄状況を確認できない状態にあったことが明らかになっています。

もうひとつ、業界で繰り返し引用される代表的な事例が、2019年に発覚した神奈川県のHDD転売・情報流出事件です。神奈川県庁がリース契約を終えたサーバーのハードディスク18個(合計最大54テラバイト分)の廃棄処理を委託したところ、受託会社の社員がデータ消去を完了させないままインターネットオークションで転売していたことが発覚しました。流出したデータには納税記録や県職員の名簿など、機密性の高い行政情報が含まれていました。

両事件に共通するのは、廃棄という選択をしたにもかかわらず、委託先の管理体制の不備によって情報漏洩が起きたという構造です。つまり「廃棄すれば安全」という発想そのものが、リスクの所在を見誤らせているのです。安全性を左右するのは、廃棄か売却かという選択ではなく、データ消去のプロセスがどれだけ確実に管理されているかという一点に尽きます。

法律とガイドラインが求める「復元不可能な消去」

では、どのようなデータ消去であれば「確実」と言えるのでしょうか。ここでは、法律とガイドラインの両面から基準を整理します。

個人情報保護委員会が公開している「データの消去に関する注意喚起」では、事業者が保有する個人データについて、利用する必要がなくなった際には「復元不可能な手段」で消去することの重要性が示されています。加えて、消去業務を外部委託する場合には、委託先に対する必要かつ適切な監督を行う義務があること、さらに機器の廃棄を請け負う事業者自身も、個人データが含まれる機器を扱う以上は安全管理措置と再委託先の監督義務を負うことが明記されています。先に紹介した2つの事例は、まさにこの監督義務が果たされなかったケースだと整理できます。

技術的な基準としては、米国国立標準技術研究所(NIST)が策定した「NIST SP 800-88」が国際的な事実上の標準として広く参照されています。情報処理推進機構(IPA)が公開している日本語訳版によれば、媒体のデータ抹消処理は「Clear(クリア)」「Purge(パージ)」「Destroy(破壊)」という3段階で定義されています。Clearは一般的な復元ソフトでは復旧が困難なレベルまで上書きする処理、Purgeはより強固な上書きや暗号化消去などによって専門的な手法でも復元を困難にする処理、Destroyは裁断や穿孔などによる物理的破壊です。総務省が公開している「安全なデータ・端末の廃棄」のページでも、ソフトウェアによる上書き消去、専門業者への委託、物理的破壊、暗号化消去という4つの方法とその注意点が具体的に示されています。

国際規格の面でも変化があります。情報セキュリティマネジメントシステムの国際規格であるISO/IEC 27001は、2022年の改訂で附属書A管理策8.10として「情報の削除」が新設されました。2013年版までは廃棄に関する管理策が限定的だったことを踏まえると、不要になった情報を確実に削除することへの要求水準が、国際的にも明確に引き上げられていると言えるでしょう。

安全なデータ消去、3つの方法を比較する

実務としてのデータ消去には、大きく分けて3つの方法があります。それぞれの特徴を整理しました。

方法概要適した場面
ソフトウェアによる上書き消去専用ソフトでディスク全体に無意味なデータを複数回上書きするストレージを再利用・売却したい場合
物理破壊ディスクを裁断・穿孔するなどして読み取り不能な状態にする再利用を前提とせず、確実性を最優先したい場合
磁気(デガウス)破壊専用装置で強力な磁気をかけ、記録された信号を消磁する大量のハードディスクを一括処理したい場合

ここで注意したいのは、SSDやフラッシュメモリを搭載した機器では、従来のHDD向け上書き消去だけでは十分でないケースがある点です。SSDの構造上、メーカーが提供する専用のセキュア消去機能を使うことが推奨されています。どの方法を選ぶにせよ、消去作業の記録を残し、後から第三者に説明できる状態にしておくことが、企業としての説明責任を果たすうえで欠かせません。

消去を終えたら「捨てる」ではなく「売る」という選択肢へ

ここまで整理してきた消去基準を満たせば、「売却は危険だから廃棄すべき」という前提そのものが崩れます。むしろ、確実な消去プロセスを経た資産は、廃棄より売却の方が経済的にも環境的にも合理的な選択になります。

この安全性を第三者の立場から裏付ける仕組みとして、データ適正消去実行証明協議会(ADEC)のような認証制度が存在します。ADECは「消去技術認証」と「消去プロセス認証」という2種類の制度を通じて、消去ソフトウェアの安全性や事業者の運用体制を第三者が評価し、消去実行の証明書を発行する仕組みを提供しています。売却先を選ぶ際に、こうした第三者証明の有無を確認できるかどうかは、業者選定の重要な判断材料になります。

もうひとつ押さえておきたいのが、資産として売却できるのはパソコンやサーバー本体だけではないという点です。ワークステーションやサーバーに搭載されているグラフィックボード(GPU)のように、個別のパーツ単位でも高い資産価値を持つ機器があります。特に近年は生成AIや機械学習向けの計算需要の高まりを背景に、ハイエンドGPUの中古需要が根強く、汎用的なIT資産処分業者に一括で見積もりを依頼すると、パーツ単位の適正な価値を評価してもらえないこともあります。こうした機器を保有している企業や個人は、GPU買取センターのようなGPU専門の買取窓口に個別で相談し、パーツ単位での査定を受けることも、資産価値を最大化する有効な選択肢のひとつだと言えるでしょう。

安全に売却するための業者選定チェックリスト

データ消去の基準を理解したうえで、実際に売却先や処分委託先を選ぶ際に確認しておきたいポイントを整理します。

  • 中古品を取り扱う許可(古物商許可など)を得ているか
  • データ消去証明書、または廃棄証明書を発行してくれるか
  • 消去作業の記録や工程が、依頼者側から確認できる仕組みになっているか
  • ISMS(ISO/IEC 27001)やプライバシーマークなど、第三者認証を取得しているか
  • 個別のパーツや機種ごとに、専門性の高い査定を行っているか

これらの項目をあらかじめ確認しておけば、「安さ」だけを基準に委託先を選んで情報漏洩事故を招くという、先に紹介した事例のような事態を避けやすくなります。

法人が今日から始めるIT資産処分のロードマップ

最後に、実務としてどこから着手すればよいかを、シンプルな手順に落とし込んでおきます。

  1. 保有しているIT資産の棚卸しを行い、機種・保存データの有無を把握する
  2. 個人データや機密情報が含まれる機器については、消去方針(ソフトウェア消去か物理破壊か)を先に決定する
  3. 消去証明書を発行できる委託先・売却先を複数比較し、実績と認証を確認する
  4. 消去記録と証明書を、社内で一定期間保管する
  5. 消去が完了した資産について、売却先の査定を受け、必要に応じて専門買取窓口も検討する

この手順を踏めば、廃棄という選択に頼らずとも、情報漏洩のリスクをコントロールしながら資産価値を回収することができます。

まとめ

IT資産の処分は、「怖いから捨てる」という感情的な判断ではなく、「消去の確実性を確認したうえで、経済合理性の高い選択をする」という論理的な判断に基づいて行うべきものです。初期化だけでは情報は消えていないこと、法律やNIST SP 800-88のような国際基準が求める消去水準、そして第三者証明という仕組みを理解すれば、売却は決して危険な選択ではなく、むしろ廃棄コストと機会損失という二重の負担から企業を解放してくれる選択肢になります。

次にIT資産の入れ替えを検討するタイミングが来たら、ぜひ一度立ち止まって、廃棄と売却、それぞれのコストと収益を数字で比較してみてください。感情に流されず数字と向き合うことこそが、賢者の選択の第一歩です。