オンプレミスはシステム調達時にアプリとインフラ一体型で契約されてることが多い。契約終了と共に記録媒体も廃棄する契約で担保していた。でも契約先で不履行や事件があると漏洩の危険があるのは神奈川県のメディア盗難事件で顕在化した。パブリッククラウドやSaaSは、契約終了のタイミングとメディア廃棄のタイミングは違う。メディア廃棄とデータ消去を分けて考える必要がある。メディア廃棄はCSP（クラウドサービス事業者）に任せる。AWSでは施設内で裁断処理している。内部統制状況も第三者監査している。データ消去は利用者自身または委託先の業務。消去証明は暗号鍵消去という方法でログで代替する。機微なデータを扱う場合、パブリッククラウド利用時は下記のような要件を求めてはどうか。

• データ暗号化　理由は廃棄メディアが盗難にあったとしてデータ暗号化をしておくことで容易に復元出来ないようリスク対策すべきである。
• 廃棄メディアの物理的破壊　クラウド事業者の施設内で物理的破壊を自ら実施ししていることを評価する。保証型監査による監査レポートで統制状況を確認する

aws.amazon.com