データを破棄する手順書を整備しておきましょう。もしも媒体の情報が漏洩したときに、確実に破棄していることを証明するために必要になります。あなたが、不要なディスクを物理的に破壊した後にも、破棄したことがわかるように文章化しておきましょう。媒体のシリアル番号や種類、データ抹消処理方法、検証方法等を記載します。これが正式にデータを破棄したことの証明書になります。
その一方で、クラウドストレージサービスではディスクに直接触れませんので、壊すこともできません。物理的な記憶媒体に関しては、クラウドサービス側に破棄のプロセスにゆだねることになります。そのため、クラウドストレージサービスを利用している組織として、どこまでを破棄とみなすのかについては確認しておく必要があります。もしもクラウドサービスでの方針に、組織の破棄ポリシーがそぐわないときには、独自のケアが必要です。例えば、クラウドストレージのデータはすべて暗号化しておき、その復号鍵を抹消することで、たとえストレージサービスに使っているディスクを見られたとしても復号できない状態を作り、「破棄」と同等の状態にすることが考えられます。標準的な破棄のプロセスについて、ベストプラクティスを知りたい場合には、NIST SP 800-88の「メディアのサニタイズに関するガイドライン」を確認しておきましょう。
データの無害化は、システムデータだけではありません。ダンプスターダイビングまたはスキャベジングとは、物理的なゴミ箱の中から重要情報を見つけることです。ゴミ箱に入れると、削除した気になり安心してしまいます。しかし、ゴミ箱は清掃員など社内と社外をつなぐ共有スペースに他なりません。機密情報を含む文章などは、シュレッダーにかけ漏洩しないようにしましょう。ちなみに、あまり実務で気にするところではありませんが、シュレッダーの方法には2つあります。ストリップカットシュレッダーは、紙を垂直ストリップにカットします。クロスカットシュレッダーは、垂直方向と水平方向の両方向にカットする方法です。ストリップカットよりも安全であるといえます。ただし、これはあくまで刈り取り方の話ですので、クロスカットをすれば安心というわけではなく、粗ければ復元されてしまいますので注意が必要です。
イランアメリカ大使館人質事件の際には、シュレッダーで処分したはずの書類を復元された。