パソコンやスマホを手放す前のデータ消去はどこまでやれば足りるのか

中古として売る前や廃棄する前に、ごみ箱を空にしてから初期化しておけば中身は消えた、と考えてしまいがちです。多くの場面ではそれで実害が出ないこともありますが、機器や手順によってはデータの本体が読み取れる形で残る場合があります。この記事は、なぜ削除や初期化だけでは足りないことがあるのかを仕組みから確認し、NIST SP800-88の考え方と、HDDとSSDで適切な方法が違う理由、暗号化消去と物理破壊それぞれの効果と限界を整理します。そのうえで、消去ソフトや消去サービス、物理破壊機の選び方を示します。なお本記事はアフィリエイトリンクを含みます。紹介する製品の効果や適合性を保証するものではなく、購入判断はご自身の利用環境に照らしてお願いします。詳細は広告・アフィリエイトについてをご覧ください。

ごみ箱を空にしても消えていないのはなぜか#

ファイルを削除してごみ箱を空にすると、画面上からファイルは消え、空き容量も戻ります。この見た目から完全に消えたと受け取りがちですが、ディスク上で起きていることはそれと異なります。多くのファイルシステムでは、削除はデータが置かれている場所を管理する情報(目次にあたる管理領域)を消し、その領域を再利用可能と印を付けるだけで、データの本体はそのまま残ります。

データ本体が消えるのは、別の書き込みでその領域が上書きされたときです。上書きが起きるまでは、削除済みと印が付いた領域も物理的にはデータを保持しています。このため、廃棄や売却したパソコンやハードディスクから、市販のデータ復元ツールで内容を読み出される可能性が残ります。IPAも、削除したファイルやごみ箱の中身が復元ツールで復旧されうると注意を促しています。

初期化(フォーマット)についても、操作の中身を確かめると同じ注意が当てはまります。通常のフォーマットは管理領域を作り直す処理が中心で、データ本体への上書きを伴わないことがあります。IPAは、初期化をしただけでは復元ソフトで読み取られてしまうため、データ消去ソフトを使うか物理的に破壊してから廃棄する必要があると説明しています。一方で、後述するスマートフォンやSSDの初期化は、暗号鍵を破棄して内容を復元不能にする仕組みを伴う場合があり、事情が異なります。

IPAは、廃棄や売却したパソコンやハードディスクから、データ復元ツールを使ってデータを復旧されてしまう可能性があると注意喚起しています。削除やフォーマットだけでは安全とはいえないため、データ消去ソフトや専門業者の利用、または物理破壊が必要だという整理は、IPAの注意喚起や後述するADECのガイドブックでも共通しています。本文の「管理情報を消すだけでデータ本体は上書きまで残る」という説明は、一般的なファイルシステムの仕組みに基づきます。

NIST SP800-88が示すClear、Purge、Destroyの三段階#

どこまでやれば足りるかを考えるとき、処理の強さを段階で整理した指針が手がかりになります。米国NISTのSP800-88は、媒体のデータ抹消処理(サニタイズ)を強さの異なる三つに分けています。Clearとは、標準的な読み出し操作や市販の復元ツールでは復元できないようにする処理を指し、HDDでは利用者領域の上書きが代表例です。Purgeとは、暗号化消去などのより高度な手法で、実験室レベルの復元の試みにも耐えうる状態にする処理を指します。Destroyとは、物理破壊によって媒体そのものを使えなくする処理を指します。

この区分が役立つのは、求める強さと媒体の処分の仕方に応じて方法を選べる点にあります。社内で再利用するなら上書き(Clear)で足りる場面が多く、外部へ手放したり機微な情報を扱っていたりするなら暗号化消去や専用コマンド(Purge)、あるいは物理破壊(Destroy)を選ぶ、という具合に強さを段階で考えられます。

版の状況も押さえておきます。長く参照されてきたのはSP800-88 Rev.1(2014年)で、IPAが日本語訳を公開しています。NISTは2025年9月26日にRev.2を公開し、Rev.1は同日付で廃止扱いになりました。Rev.2でもClear、Purge、Destroyの三区分は維持されています。一方でRev.2は、具体的な手法の詳細を文書内に書き込む方式から、暗号化消去を除いてIEEE 2883などの外部標準や組織が承認した基準に従う方式へと構成を改めています。本記事は処理の考え方を示す目的でこの三区分を用い、最新の手法の詳細は一次資料で確認することをすすめます。

NISTはSP800-88 Rev.2を2025年9月26日に公開し、Rev.1(2014年12月)を同日付で廃止しました。Rev.2はClear、Purge、Destroyの三区分を維持しつつ、暗号化消去(CE)を除く手法の詳細を外部標準(IEEE 2883やNSAの仕様、組織が承認した基準)への準拠に置き換えています。Clear/Purge/Destroyの定義の和訳としてはIPA公開のRev.1日本語訳(https://www.ipa.go.jp/security/crypto/gmcbt80000005u4j-att/SP800-88rev1.pdf)が参照しやすいですが、最新版はRev.2である点に注意してください。

HDDとSSDで適切な消去方法が違う理由#

同じ上書きでも、HDDとSSDでは効き方が変わります。理由は記録の仕組みの違いにあります。HDDは指定した位置に直接書き込む構造に近く、利用者が読み書きできる領域を端から上書きすれば、その領域のデータは置き換わります。このためHDDでは、全領域を意味のないデータで上書きする方式(Clear)が現実的な手段として機能します。

SSDでは事情が異なります。SSDのコントローラは、特定のセルへの書き込みが集中して劣化するのを避けるため、書き込み先を内部で分散させるウェアレベリングという仕組みを持ちます。さらに、利用者からは見えない予備領域(オーバープロビジョニング)を抱えています。この結果、利用者の領域を外側から上書きしても、コントローラが別のセルへ書き込みを振り分け、以前のデータが残ったセルに届かないことがあります。つまりSSDへの単純な上書きは、未消去のセルを残す可能性があり、消去できたと言い切れません。

SSDで向くのは、ドライブ内部のコントローラに消去を実行させる方法です。SATA接続のSSDにはATA Secure Eraseという、コントローラに全セルのリセットを指示するコマンドがあり、NVMe接続にはNVMe Formatコマンドのsecure erase設定(User Data EraseやCryptographic Erase)が用意されています。いずれも通常のOSのフォーマットとは別物で、予備領域を含めてコントローラ側で処理させる点が要点です。ただしATA Secure Eraseは、フラッシュメモリでは実装差やスペアセルの扱いにより、NISTの区分でPurgeではなくClear止まりと位置づけられる場合があります。SSDでPurge相当を狙うなら、暗号化消去や、メーカーが消去内容を明示し検証できるブロック消去、NVMe Formatの適切なsecure erase設定といった手法を選びます。NISTは暗号化消去をフラッシュメモリのPurge手法として明確に位置づけており、その他の手法はIEEE 2883などの外部標準に沿って実装と検証可能性を確認するのが安全です。

暗号化消去と物理破壊それぞれの効果と限界#

Purge以上の強さを実現する代表的な方法が、暗号化消去と物理破壊です。それぞれ効果と限界が異なるため、何が守られて何が守られないのかを分けて理解する必要があります。

暗号化消去(Cryptographic Erase)は、保存データをあらかじめ暗号化しておき、その復号に必要な暗号鍵を破棄することでデータを復元不能にする方式です。データ本体を一つずつ上書きする必要がなく、鍵という小さなデータの破棄だけで全体を読めなくできるため、処理が速く、書き込み回数が増えにくい利点があります。NISTのSP800-88 Rev.2も、暗号化消去を暗号化された媒体に広く使える手法として扱っています。前提として、データが適切に暗号化され、鍵が確実に破棄されることが効果の条件になります。暗号化されていないデータや、鍵の控えがどこかに残る運用では、この方式の効果は得られません。

スマートフォンの初期化は、多くの機種でこの暗号化消去に相当します。AppleのiPhoneでは、すべての内容と設定を消去する操作で、暗号鍵を保持する領域の鍵を破棄し、利用者データを暗号的に読み出せない状態にすると説明されています。Androidも端末の暗号化を前提に初期化で鍵を扱う方式が広く採られていますが、挙動は機種やOSの版で異なるため、一律に同じとは言い切れません。鍵管理の作り込みに依存する処理であるため、不安が残る場合は端末メーカーの説明を確認するのが確実です。

物理破壊(Destroy)は、記録媒体そのものを砕いて読み取れなくする方法で、視覚的に処分を確認できる安心感があります。一方で限界もあります。破砕が不十分だと、HDDではプラッタの破片が、SSDでは個々の記憶チップが残り、チップを別の基板に載せ替えるなどの手間をかければ読み出される懸念が指摘されています。とくにSSDは小さなチップに大量のデータが集約されるため、外装や基板を割っただけではチップが生き残ることがあります。物理破壊の前にデータを上書きするか暗号化消去を済ませておくと、仮に破片が残っても読み出される余地を抑えられます。破壊だけに頼らず消去と組み合わせ、求める水準に応じて破砕の粒度や消去証明、委託時の管理まで確認すると、残存片からの読み出しリスクを下げられます。

廃棄方法別の選び方#

ここまでの整理をもとに、手放し方ごとの選び方を示します。媒体がHDDかSSDか、外部へ渡すか自分で処分するか、機微な情報を扱っていたかによって、向く方法は変わります。

• 消去ソフトを自分で使う：HDDの上書き消去や、SSDのSecure Erase、暗号化消去を、利用者がパソコン上で実行する方法です。費用を抑えられますが、媒体に合った方式を選ぶ必要があります。SSDに単純な上書きを選ぶと未消去のセルが残りうる点に注意してください。
• 消去サービスや代行業者に依頼する：媒体を渡し、消去と証明書の発行までを任せる方法です。手間がかからず、処理の記録が残る利点があります。委託先の処理方式と、消去証明の有無や輸送中の取り扱いを確認してください。
• 物理破壊機やパンチを使う：自分の手元で媒体を破壊する方法です。前述のとおり破砕が不十分だと読み出しの懸念が残るため、上書きや暗号化消去と組み合わせ、SSDではチップまで十分に砕けるかを確認します。
• 下取りや買取に出す：暗号化消去に相当する初期化が確実に効く機種であれば、初期化のうえ手放す選択肢があります。機種ごとの消去の仕組みを確認し、不安が残るなら消去ソフトやサービスを併用してください。

選ぶときの軸は、求める強さと媒体の種類の二つです。社内での再利用や機微でないデータなら上書きで足りる場面が多く、外部へ手放したり機微な情報を扱っていたりするなら暗号化消去や専用コマンド、または物理破壊との組み合わせを選びます。製品やサービスの説明が「完全消去」とうたっていても、媒体に合った方式かどうかを利用者側で確かめる姿勢が、過信を避ける助けになります。

媒体を手放す前の確認手順#

最後に、迷わず進められるよう手順の形でまとめます。媒体の種類と求める強さを最初に決めると、方法の選択がぶれにくくなります。

データ消去は記録の仕組みを踏まえて選ぶ作業です。HDDとSSDでは効く方法が違い、削除や通常のフォーマットだけでは管理情報を消すにとどまる場合があります。暗号化消去は鍵の破棄でデータを読めなくできる有効な方式ですが、暗号化と鍵破棄が前提です。物理破壊は強力でも、破砕が不十分なら読み出しの余地が残ります。媒体の種類と求める強さに合わせ、必要なら消去と物理破壊を組み合わせて選ぶことが、過不足のない判断につながります。媒体ごとの暗号化や安全な持ち運びについては

、紙やディスクの細断機については

あわせて読みたい

情報漏えいを防ぐシュレッダーの選び方。家庭・オフィスの紙の機密を安全に捨てる

、万一情報が漏えいした場合の動き方については

あわせて読みたい

情報漏えい発生時の対応と公表。委員会への報告義務と本人通知をどう判断するか

もあわせて参考にしてください。