あなたの会社に適切な「ITAD」プロセスとは？

「ITAD」プロセス

それでは、具体的に「ITAD」で行われるプロセスとしてどのようなものがあるか見ていきましょう。「ITAD」のフェーズとして、大きく（1）Plan～事前準備（2）ITADのコア作業の2つに分かれます。

（1）Plan～事前準備

「ITAD」を重視されている企業は、IT資産導入の計画と同時にIT資産の処分計画も立てます。
パソコンを導入する際の入れ替え対象品（処分品）のスケジュール作成から始まり、運搬や消去の段取りや、資産除却など財務面での検討や、データ消去の方法・運搬・処分方法の検討などを行います。

「ITAD」への投資や売却金額は、LCMでいう導入や調達に比べると、少額であります。また、売却益が出る場合もあるのですが、そちらも少額なものです。よってIT機器の処分に関しては、綿密な予定が立てられている訳ではなく、「入れ替えてから処分方法を考える」という企業がまだまだ多いように感じます。

しかしながら、そこには多大なリスクとコストの増加が潜んでいます。計画的に処分業務を行わなかった時にはどういった問題があるのでしょうか？　当社のお客様である企業の情シス担当者様からは、以下のような声が聞かれます。

【リスクの観点】
・電源、通電していない状態なので、システム上の管理ができない。
・データが消去されていない機器が放置されている事で、盗難や紛失、パーツの抜き取りなどのリスクがある。

【ROIの観点】
・処分に時間がかかり、倉庫代金・倉庫スペースがかさむ。
・機器を集約するのに思いの外、運送費用がかかってしまう。
・売却するタイミングが遅くなり、売却金額が当初の見積もりより大幅に減額される。
・ハードディスクを破壊した為、売却金額が安くなってしまう。
・資産管理を新規導入PCと廃棄PCが重複して行わなくてはならない（資産管理ライセンス料金の重複）。

つまり、処分の計画が甘いと非効率なITADとなり、セキュリティ的にもコスト的にも問題があります。コストの部分はわずかかもしれませんが、「データが消去されていないIT機器が放置されている」この現状に気持ち悪さや違和感を覚えられる方も多いのではないでしょうか？

（2）ITADのコア作業

処分IT機器の運送・保管・データ消去・処分などの作業全般がITADのコアの作業になります。こちらは、前回お伝えした4つの視点（1）コンプライアンスとガバナンス、（2）情報管理セキュリティ、（3）サスティナビリティ、（4）ROIを満たすものでないといけません。

「ITAD」のコア作業に関しては、（1）自社やグループ企業で全て完結させる（2）他社に全て業務委託を行う（3）自社で行う部分と他社で行う部分の切り分けを行う、という3つの選択肢があります。超大手企業になるとグループ内に物流会社があったり、リサイクル会社を持っていたりしますので、（1）自社やグループ企業で全て完結させる　というパターンもありますが、現実的には他社を利用しながら「ITAD」のコア業務を行っている企業がほとんどです。

「ITAD」のコア作業としては、運送運搬・現物確認・保管・データ消去方法・レポーティング・検査・処分というフェーズに分類されます。

「ITAD」プロセスにおいて重要視されるポイント4点とコア作業のフェーズの関わり合い度合の関係性をまとめると以下の表のようになります。

ROIやコスト面はすべての作業に関わり合いを持ちます。また、データ消去作業やそのレポーティング、処分の方法などは法律にも関わる部分がありますので、特に重要な作業です。ROIは全てに関わってきますが、コンプライアンスの部分やセキュリティの部分、サスティナビリティの部分を考えながら、コスト削減だけを考えるのでなく、適切な投資を行う事がITADの本来の姿だと思います。

具体例から、そのITADは適切かどうかを考えましょう。

ある会社は、無料でデータ消去と回収業務を行っている業者に処分を依頼。但し買取金額は0円。情シス部門の手間はかからない。といったケースがあるとします。それぞれどういった問題があるか見ていきましょう。

（1）運搬面

まず、その会社に出す運搬面の情報セキュリティは果たして安全でしょうか？　データ消去されていない機器を運送するなら、運送時の紛失のリスクを検討しなくてはいけません。市中の回収業者さんの荷姿を見ると、軽トラックの荷台に情報機器が無造作に積まれて、運送されている姿を度々みかけます。万が一、データが消去されていたとしても、運搬中に盗難され、それがリースシールや企業の管理番号が貼られた状態で不法投棄されるリスクを考えると個人的にぞっとする光景です。

（2）データ消去作業

次にデータ消去作業の方式はどうなっているのでしょう？　ソフトの信頼性やレポートの信頼性は担保できるのでしょうか？　委託している企業を信頼するだけの担保はあるのでしょうか？　万が一、処分先からデータ漏洩が発生しても、社会的責任に問われるのは排出元の企業です。また、担当者様がその責任を問われます。

そう考えると、消去している工場の見学を行ったり、その企業の実績や内部統制体制なども検討しなくてはいけません。

（3）レポーティング

データ消去した証明書などエビデンスはありますでしょうか？　マイナンバーのガイドラインにも消去した履歴管理に関しての記載が記されています。ITADを行う上で、消去レポートや処分のレポートに関しては、今後必須になると思われます。

（4）保管

保管面はどうでしょう？　依頼先の業者の倉庫を見学されましたでしょうか？　機器が野ざらしになって保管されているといった事はありませんか？　倉庫のセキュリティにも当然、投資がかかります。安価な費用の裏側には、セキュリティが犠牲にされている事も想定しておくべきです。

（5）処分方法

処分の方法は確認されているのでしょうか？　万が一、市場価値の無い処分機器（例えばCRTなど）を不法投棄されない保証はあるのでしょうか？　市場価値のあるものは、適正にリユース・リサイクルされているか確認できていますでしょうか？

わずかなコストを惜しむことによって、上記のようなリスクに目を背けている企業様も多いと感じます。しかしながら、ITADに多大なコストをかける事も企業の業績面から考えると現実的でなかったり、許容性の問題もあります。ITADにおいて、作業プロセスと4つのポイントをそれぞれ対比させながら、その企業にとって最適な基準のITADを目指す事が望まれます。

最後に、他の業務もですが、ITADプロセスの委託に関しては、監査するという行為が企業にとって必要です。

まとめ

• 適切なITADプラン策定が、リスクとコストの削減への近道
• ITADコア作業は、フローごとに、コンプライアンス・セキュリティ・サスティナビリティ・ROIをそれぞれ勘案して、自社に最も合ったITADを目指すべし
• ITADプロセスを委託する場合は、委託先の監査は必須

次回は、これからのITADについて考察したいと思います。