情報セキュリティガバナンスやSDGsが、以前にもまして重視される現代。そのどちらにも深く関わるPCやスマートフォン、USBメモリといった情報端末の処分は企業にとって避けては通れない問題です。

貴社ではIT資産のライフサイクル管理にあたって、調達や運用だけでなく、処分のフェーズにまで意識を向けられているでしょうか。

そこでご紹介したいキーワードが「ITAD」です。ITADはどのような概念でなぜ重要なのか、どのように実行すればいいのかについて詳しく見ていきましょう。

「ITAD」は、IT資産を適正に処分することやそのための活動、事業者を指す

「ITAD」は「Information Technology Asset Disposition：IT資産の適正処分」の略称であり、PC、スマホといったハードウエアからソフトウエアライセンスや電子文書といったデータまであらゆるIT資産を適正に処分することおよび、そのための事業者や活動を意味します。

「ITAD」はIT資産を廃棄するだけでなく、データを消去した上でのリユースやレアメタルをはじめとする資源のリサイクル、あるいは機器を回収した上での再流通（refurbish：リファービッシュ）を行うことを指向します。

事業者がハードウエアを処分する場合は廃棄物処理法に従い、専門の業者やメーカー、リサイクル事業者に依頼を行うことになるでしょう。その際、データ漏えいのリスクを恐れ、まだリユースやリファービッシュが可能な製品であっても分解や破壊による処理が希望されることは少なくありません。とはいえ、それで100％安心というわけではなく、2019年には神奈川県庁が破壊を委託したHDD18本が委託業者によりオークションサイトに出品されるという事件も報道されました。

重要なのは適切な手順でITADを進めることであり、その手法が普及すれば資源の有効利用やコンプライアンス・ガバナンスの強化にもつながることが予想されます。また、ITADは企業のIT資産管理の一環であり、IT投資のROI（投資対効果）向上にも貢献する可能性があります。

事実、『オフィス等から発生する使用済製品リユースのための手引き』（環境省）では、平成27年度のアンケート調査における事業者や官公庁、地方自治体によるオフィス家具、電気機器（OA 機器・家電製品）といった使用済み製品の引き渡し理由で最も多かったのが「買取による収入が得られた」（31％）であったことが紹介されています。

ITADはどのように実践すればよいのか

さて、実際のところ我々はITADをどのように実践すればよいのでしょうか？

まずはIT資産を処分するにあたってのガイドラインや目標を設定するところからITADは始まります。

例えばIT資産の処分を業者に依頼するにあたって、信頼のおける業者を選定すること、データ消去ガイドラインや規定に従って情報の流出を防止した上でリユースやリファービッシュを選択する基準を設けることは大きくITADに貢献します。また、第三者保守サービスなどを活用し、まだ使えるIT資産を安心して利用する道を選ぶことは、SDGsに貢献するだけでなく、コスト削減にもつながります。さらに、IT資産ライフサイクル全体を考えれば、そもそも調達時にリユース品を選ぶことも限られた資源の有効利用やROI向上につながるでしょう。

株式会社ゲットイットが2023年9月に実施した1,000人規模の「IT機器のリユース、第三者保守、廃棄に関する意識調査」によると、企業のITシステム担当者や調達・購買担当者が「環境負荷低減の対応を出来ていない理由」として最も多く挙げられたのが「具体的な目標が設定されていない」と「業務多忙のため手が回らない」（ともに40.2％）という理由でした。

もちろん業務の多忙さは深刻な問題ですが、そもそも目標に組み込まれておらず具体的な指標が示されていないことで、ついつい環境負荷への配慮が後回しになってしまうケースも少なくないはずです。

まずはITADを知り、目標設定に組み込むところから自社の取り組みをスタートさせましょう。

ITADガイドライン作成の参考になる資料とその具体的ポイント

企業のITADガイドラインの作成にあたって参考になる資料として、『地方公共団体における情報セキュリティポリシーに関するガイドライン』（総務省）が挙げられます。

同資料では、情報資産をその機密性に応じて3段階で分類し、それ以外に住民情報を保存する記憶媒体を設定、それぞれに応じた機器の廃棄方法を明記しています。最機密情報である住民情報については、職員立ち合いのもと物理的破壊による処理の確認や完了証明書の受領を行うなど、情報漏えいに対する二重三重の対策が取られています。

また、機密性に応じて、磁気的な方法による破壊やデータフォーマット、ブロック消去、暗号化消去などの方法が適切に選択され、いずれの場合も作業完了の確認までがガイドラインに明記されています。

なお、データ消去のより具体的なガイドラインは米国国立標準技術研究所（NIST）やデータ適正消去実行証明協議会（ADEC）といった組織からも公開されています。

ITADの目標やガイドライン作成とともに、IT利用の選択肢を広げよう

IT資産を適正に処分することで企業・社会双方にメリットをもたらすITADについて解説してまいりました。IT設備・機器を利用する方法として、「所有」のほかに「リース」という選択肢を追加することで、環境負荷の低減やコスト最適化が進む可能性もあります。ITADの目標やガイドライン作成に取り組む際には、さまざまなIT製品・サービスの利用形態が存在する中で、自社が取りうる選択肢をぜひ今一度視野を広げて検討してみてください。