「セキュリティクリアランス 5w2h2c ハイリスクアプローチ」は、セキュリティ関連機器を提供する日東ホルカム株式会社が提唱し、商標登録しているデータ消去・廃棄のリスク管理手法です。
これは、政府のセキュリティクリアランス制度への対応や、重要データの物理破壊におけるリスクを可視化・管理することを目的としています。
5W2H2C ハイリスクアプローチの概要
日東ホルカムによると、この手法は5W2Hの項目にリスク管理の要素を追加したもので、データ廃棄プロセスにおける潜在的なリスクを可視化します。
5W(データ廃棄の基本要素)
What(何を):破壊対象となるメディア(HDD、SSD、磁気テープなど)とデータの重要性を明確にする。
Who(誰が):破壊作業を行う責任者を明確にする。
When(いつ):破壊作業の日時を記録する。
Where(どこで):作業場所を記録する。
Why(なぜ):破壊を行う理由(機密情報保護など)を明確にする。
2H(実行方法とコスト)
How(どのように):物理破壊や磁気消去などの手法を特定し、その方法を記録する。
How much(どれだけのコストで):作業にかかる費用を管理する。
2C(リスク管理とコンプライアンス)
Compliance(コンプライアンス):関連法令(日本の場合は「重要経済安保情報保護・活用法」など)やガイドライン(NIST 800-88、IEEE
2883-2022など)に準拠していることを確認する。
Certificate(証明書):作業が適切に行われたことを証明する破壊証明書やログを発行・管理する。
ハイリスクアプローチの適用
「ハイリスクアプローチ」とは、リスクの高い部分から優先的に対策を講じるリスクベースアプローチの一環です。この考え方をデータ廃棄プロセスに適用することで、セキュリティクリアランス制度で求められる高度な情報管理を実現します。
適用例:重要経済安保情報の廃棄
リスクの特定: 重要経済安保情報を含むストレージメディアは、最も高い情報漏洩リスクを持つ「ハイリスク」な対象とみなされます。
5W2H2Cによる管理: 5W2H2Cの各項目を厳格に適用し、破壊プロセス全体を管理します。
物理破壊と証明書:
日東ホルカムの破砕機「CrushBox」は、物理的にメディアを粉砕し、スマートフォンの位置情報や画像付きのログで破壊証明書を発行することで、作業の信頼性を高めます。
確実なプロセス: 「いつ、どこで、誰が、何を、どのように」破壊したかを記録し、「コンプライアンス」と「証明書」でリスクを確実に管理します。
これにより、高リスクな情報媒体の廃棄プロセスにおける潜在的な脅威を可視化し、適切な対策を講じることで、機密情報の漏洩を防ぐことができます。