自作PC のディスク暗号化(BitLocker)完全ガイド|在宅勤務×副業の機密データを盗難・廃棄から守る 7 戦略
ビジネス自作PC のディスク暗号化を、BitLocker とデバイスの暗号化の違い・Windows 11 Pro/Home の差・TPM 2.0/fTPM/PTT の有効化・有効化手順・自作PC 最大の罠(マザボ交換/BIOS 更新での回復キー地獄)・回復キー保管 7 原則・暗号化方式 4 種比較・廃棄/売却時の安全消去で完全網羅。在宅勤務×副業の顧客データ・原稿・決算書を盗難/紛失/廃棄から守る 7 戦略・選定 7 項目チェックリスト・運用 5 つの落とし穴を体系化。
※ 本記事はアフィリエイト広告(Amazon アソシエイト等)を含みます
在宅勤務で会社の顧客データを扱い、副業ブログの下書きや確定申告用の決算書も同じ自作PC に保存している——そんな PC が、ある日「電源が入らなくなって修理に出す」「数年後に売却する」「空き巣に SSD ごと持ち去られる」とき、ドライブを抜いて別の PC に挿せば中身は丸ごと読み取れてしまうのが暗号化していない状態です。本記事の結論を先に言えば、ビジネス自作PC は OS ドライブを BitLocker で暗号化し、回復キーを 3 か所に保管しておくのが正解です。理由はシンプルで、暗号化は「PC を起動できる人」と「ドライブを物理的に手にした人」を完全に分離できる唯一の手段だから。ただし自作PC には 「マザボ交換・BIOS 更新のたびに回復キーを要求される」という固有の落とし穴があり、ここを理解せずに有効化すると自分のデータを自分でロックする事故が起きます。本記事は BitLocker とデバイスの暗号化の違いから、TPM の有効化、回復キーの保管、廃棄・売却時の安全消去まで、7 戦略 + 選定 7 項目チェックリスト + 落とし穴 5 つで完全網羅します。
この記事の要点
- 暗号化は「盗難・紛失・修理・廃棄」への唯一の防御 — バックアップ(可用性)でもランサム対策(対攻撃)でもなく、機密性を守る最後のピース
- BitLocker は Windows 11 Pro 以上、Home は「デバイスの暗号化」のみ — 自作PC で手動制御したいなら Pro 一択
- Windows 11 24H2 で自動暗号化の条件が緩和 — Microsoft アカウントで初期設定すると勝手に暗号化される時代に
- 自作PC は TPM 2.0(AMD fTPM / Intel PTT)を BIOS で有効化してから使う
- 最大の罠はマザボ交換・BIOS 更新での回復キー要求 — 自作ユーザーはハードを触る頻度が高く、最も踏みやすい
- 回復キーは 3 か所保管が鉄則 — Microsoft アカウント + 印刷 + USB、これを怠ると暗号化が自分への攻撃になる
- 廃棄・売却時は暗号化 → キー破棄で実質ゼロコスト消去 — 暗号化済みドライブはキーを消すだけで読めなくなる
- 副業フェーズ別 3 パターン — 顧客データの有無で暗号化レベルを段階化
1. なぜビジネス自作PC のデータ暗号化が必要なのか
「自宅に置いているデスクトップが盗まれるなんて滅多にない」——確かにノート PC より確率は低いですが、データが漏れる場面は盗難だけではありません。むしろ自作PC ユーザーは、次の 4 つの場面でドライブの中身を他人の手に渡しがちです。
- 修理・RMA 出し — SSD やマザボの初期不良で店舗・メーカーに送るとき、ドライブごと預けることがある
- パーツ売却・PC 譲渡 — 数年後の入れ替えで、SSD をフォーマットしただけで売ってしまう
- 空き巣・災害時の持ち去り — 在宅勤務で高スペック機を置いていると、窃盗のターゲットになり得る
- 廃棄・粗大ごみ — 物理破壊せずに捨てたドライブから情報が復元される
副業や在宅勤務でビジネス自作PC を使うと、顧客リスト・契約書・決算書・原稿・パスワードを保存したブラウザプロファイルがすべて同じドライブに集約されます。暗号化していなければ、SSD を抜いて別 PC に USB 接続するだけで、Windows ログインパスワードを一切経由せず中身が読めてしまいます。
漏洩した場合の損失試算
仮に在宅勤務の顧客情報 500 件 + 副業の確定申告データ + 原稿が暗号化されていない SSD から流出したとします。個人情報漏えいの賠償・謝罪コストは 1 件あたり数千円規模とされ、500 件で数十万〜百万円超。さらに副業ブランドの信頼失墜・本業の懲戒リスクを加えると実害は計り知れません。対して BitLocker は Windows 11 Pro があれば追加費用ゼロ、所要時間 30 分で導入できます。
電源側の保護は 自作PC のUPS 完全ガイド、データ消失の事後復旧は 自作PC のデータバックアップ完全ガイド、意思を持った攻撃への対策は 自作PC のランサムウェア対策完全ガイド で扱いました。本記事はそれらが守れない「ドライブが物理的に他人の手に渡る」場面を埋める最後のピースです。
2. BitLocker と「デバイスの暗号化」の違い
Windows のドライブ暗号化には、名前の似た 2 つの機能があります。混同すると「自分のエディションで使えるのはどっちか」を見誤るので、最初に整理します。
| 項目 | BitLocker ドライブ暗号化 | デバイスの暗号化 |
|---|---|---|
| 対応エディション | Windows 11 Pro / Enterprise / Education | Home を含む広範囲 |
| 有効化 | 手動でオン・細かく制御可 | 条件を満たすと自動で有効化 |
| 暗号化範囲 | OS / 固定 / リムーバブルドライブを個別指定 | OS ドライブと固定ドライブ |
| 管理ツール | コントロールパネル / manage-bde / グループポリシー | 設定アプリのトグルのみ |
| 自作PC 向き | ◎ 細かく制御できる | △ 制御が効かない |
Microsoft Learn によれば、BitLocker ドライブ暗号化は Windows Pro・Enterprise・Education エディションで利用可能で、デバイスの暗号化はより広い範囲のデバイス(Home を含む)で利用できる自動暗号化機能です。要するに、
- 手動で細かく制御したい自作PC ユーザー → Windows 11 Pro + BitLocker
- Home エディションのまま → デバイスの暗号化(条件を満たせば自動)に頼る
という棲み分けになります。Windows 11 Home と Pro の機能差は Windows 11 Home と Pro の違い で詳しく扱っていますが、BitLocker を含む業務機能を理由に Pro を選ぶのがビジネス自作PC の定石です。
Windows 11 24H2 で「勝手に暗号化される」時代に
見落としやすい変化が、Windows 11 24H2 でデバイスの暗号化の条件が緩和された点です。ASCII の検証によれば、24H2 では従来必要だった一部のハードウェア要件が外れ、より多くの PC でドライブが自動暗号化されるようになりました。具体的には、
- Microsoft アカウントで初期セットアップを完了すると、デバイスの暗号化が自動で有効化される
- ローカルアカウントで初期設定した場合は自動では有効化されない
という挙動です。つまり、何も意識せず Microsoft アカウントで Windows 11 24H2 をセットアップした自作PC は、すでに暗号化されていて回復キーが Microsoft アカウントに保存されている可能性があるということ。この状態を知らないままマザボや BIOS を触ると、次章の「回復キー地獄」に直行します。
3. 自作PC で BitLocker を使う前提:TPM 2.0 の有効化
BitLocker をパスワード入力なしで快適に使うには、TPM(Trusted Platform Module)2.0 が必要です。TPM は暗号鍵を安全に保管する専用チップで、Microsoft によれば Windows 11 では Windows Hello や BitLocker などの機能で使われます。
自作PC の場合、独立した TPM チップを挿していなくても、CPU / マザーボードのファームウェア機能として TPM 2.0 を有効化できます。
- AMD(Ryzen)構成 → BIOS の「fTPM(Firmware TPM)」を有効化
- Intel 構成 → BIOS の「PTT(Platform Trust Technology)」を有効化
これらはディスクリート TPM と同じように機能するファームウェア実装です。AM5 マザーボードの選び方は マザーボードの選び方 も参考にしてください。
TPM 有効化と確認の手順
- 起動時に
DelまたはF2キーで BIOS / UEFI に入る - 「Security」「Advanced」あたりのメニューで fTPM(AMD)/ PTT(Intel) を探す
- 設定を Enabled に変更して保存・再起動
- Windows で
Win + R→tpm.mscを実行 - 「TPM は使用する準備ができています」と表示され、仕様バージョンが 2.0 であることを確認
4. BitLocker 有効化の手順(Windows 11 Pro)
TPM 2.0 が有効になっていれば、有効化自体は数クリックです。
- 「コントロールパネル → システムとセキュリティ → BitLocker ドライブ暗号化」を開く
- OS ドライブ(通常
C:)の「BitLocker を有効にする」をクリック - 回復キーのバックアップ方法を選ぶ(後述、必ず複数手段で保存)
- 暗号化範囲を選ぶ — 新品 SSD は「使用済み領域のみ」、使用中ドライブは「ドライブ全体」
- 暗号化モードは新しい PC 用の「新しい暗号化モード(XTS-AES)」を選択
- システムチェックを実行して再起動 → バックグラウンドで暗号化が進む
暗号化中も PC は通常どおり使えます。NVMe SSD なら数十分〜1 時間程度で完了し、最新 CPU では体感速度の低下はほぼありません(暗号化処理は CPU の AES-NI 命令でハードウェア処理されるため)。
5. 自作PC 最大の罠:マザボ交換・BIOS 更新での「回復キー地獄」
ここが本記事で最も重要な章です。自作PC ユーザーは BitLocker で最も事故を起こしやすい層だからです。理由は、自作ユーザーが日常的にやる作業——BIOS 更新・CPU やマザボの交換・起動順序の変更・UEFI 設定の変更——のすべてが、BitLocker に「システム構成が変わった=盗難の疑い」と判定され、起動時に回復キーの入力を要求されるからです。
Dell の公式 KB でも、マザーボードの交換後に BitLocker が回復キーを要求することが明記されています。BIOS のバージョンアップ・起動順序の変更・UEFI/Legacy モードの切り替えでも同様です。
回避策:ハードを触る前に「BitLocker を一時停止」
事故を防ぐ方法は明快です。BIOS 更新やハード交換の前に、BitLocker を一時停止(保護の中断)すること。
- 「コントロールパネル → BitLocker ドライブ暗号化」を開く
- 対象ドライブの「保護の中断」をクリック
- BIOS 更新・パーツ交換・再起動を実施
- 作業後、自動的に保護が再開される(再開されない場合は手動で「保護の再開」)
一時停止中もデータは暗号化されたままで、TPM のチェックだけが一時的に無効になります。これを習慣にするだけで、回復キー地獄の大半は防げます。BIOS 更新はやるべきか と合わせて、「BIOS を触る前に BitLocker を止める」をセット手順にしてください。
6. 回復キーの保管 7 原則
BitLocker 運用の成否は、ほぼ回復キーの保管で決まります。Microsoft Learn の「BitLocker 回復の概要」を踏まえ、自作PC ユーザー向けに 7 原則を整理します。
- Microsoft アカウントに保存(既定で最も復旧しやすい。
account.microsoft.com/devices/recoverykeyから確認) - 紙に印刷して物理保管(PC とは別の場所、できれば自宅の鍵付き引き出し)
- USB メモリにテキスト保存(暗号化していない別ドライブに)
- 最低 3 か所に分散保管する(1 か所が失われても復旧可能に)
- PC 本体の中・暗号化ドライブ自身には保存しない(鍵を金庫の中に入れる愚を避ける)
- キー ID とドライブの対応をメモ(複数ドライブ・複数 PC があるとき混同を防ぐ)
- 半年に 1 度、アクセスできるか確認(メンテナンス完全スケジュール の年次項目に組み込む)
7. 暗号化方式の比較:何を選ぶべきか
自作PC で取り得る暗号化の選択肢を 4 つ並べて比較します。
| 評価項目 | 暗号化なし | デバイスの暗号化 | BitLocker(Pro) 推奨 | VeraCrypt |
|---|---|---|---|---|
| 必要エディション | — | Home 可 | Pro 以上 | 全エディション |
| 費用 | 0 円 | 0 円 | 0 円(Pro 込) | 0 円(無料) |
| 盗難・廃棄時の防御 | × なし | ◎ | ◎ | ◎ |
| 細かい制御 | — | △ 自動のみ | ◎ | ◎ |
| TPM 連携 | — | ○ | ◎ | △ 任意 |
| 自作PC での扱いやすさ | — | △ | ◎ | ○ |
| おすすめ度 | × | ○ | ◎ | △ |
結論は明快で、Windows 11 Pro を入れたビジネス自作PC なら BitLocker 一択です。VeraCrypt はオープンソースで全エディションに対応する強力な選択肢ですが、TPM 連携やシステムドライブの扱いに知識が要り、副業・在宅勤務の実務では BitLocker の手軽さが勝ります。
8. 廃棄・売却時の「実質ゼロコスト消去」という副次効果
BitLocker には、見落とされがちな大きなメリットがあります。暗号化済みドライブは、回復キーを破棄するだけで実質的に読み取り不能になるのです。
通常、SSD を安全に消去するには専用ツールでの Secure Erase や物理破壊が必要です(自作PC を売却・譲渡する時の注意点 参照)。しかし最初から BitLocker で暗号化していれば、
- ドライブを通常フォーマット
- 回復キーを保管先からすべて削除
これだけで、残留データは暗号化された解読不能な状態になります。鍵がなければ復元しても無意味なデータしか出てきません。つまり暗号化は「使っている間の盗難対策」と「手放すときの消去」を同時に解決するのです。
9. 副業フェーズ別の暗号化レベル 3 パターン
扱うデータの機密度に応じて、段階的に導入するのが現実的です。
| フェーズ | 扱うデータ | 推奨レベル |
|---|---|---|
| 月収 0〜3 万円 | 自分の原稿・素材のみ | OS ドライブを BitLocker(または デバイスの暗号化)で暗号化 |
| 月収 3〜10 万円 | 取引先情報・請求データ | OS + データ用ドライブ両方を BitLocker、回復キー 3 か所保管 |
| 月収 10 万円〜 | 顧客個人情報・契約書 | 全ドライブ BitLocker + 持ち出し用 USB も暗号化 + 半年ごとキー点検 |
副業を始めたばかりでも、OS ドライブの暗号化だけは初日にやっておくのが推奨です。コストはゼロ、所要時間 30 分で、最大級のリスク(ドライブ流出)を消せます。
選定 7 項目チェックリスト
ビジネス自作PC のディスク暗号化を始める前の確認項目です。
- Windows 11 Pro 以上か(Home なら デバイスの暗号化で代替、または Pro へアップグレード)
- TPM 2.0(fTPM/PTT)が BIOS で有効か(
tpm.mscで確認) - 暗号化は OS ドライブを最優先(データ用ドライブも順次)
- 回復キーを 3 か所に保管したか(Microsoft アカウント + 印刷 + USB)
- 回復キーを暗号化ドライブ自身に保存していないか
- BIOS 更新・ハード交換の前に「保護の中断」を行う運用を決めたか
- 半年ごとに回復キーのアクセス確認をスケジュール化したか
運用 5 つの落とし穴
- 落とし穴 1:回復キー未保管のまま BIOS 更新 — 自作ユーザー最頻出の事故。必ず一時停止してから
- 落とし穴 2:ローカルアカウントで暗号化されたことに気付かない — 24H2 は条件次第で自動。状態確認を
- 落とし穴 3:回復キーを暗号化ドライブ内に保存 — 金庫の鍵を金庫に入れる愚行
- 落とし穴 4:暗号化=バックアップだと誤解 — 暗号化は機密性のみ。可用性は バックアップ が別途必須
- 落とし穴 5:fTPM/PTT を後から切り替える — TPM 状態変化で回復キーを要求される
よくある質問
Q1:暗号化すると PC は遅くなる?
A:最新 CPU ではほぼ体感差なしです。BitLocker の暗号化処理は CPU の AES-NI 命令でハードウェア処理されるため、NVMe SSD でも速度低下は数 % 程度。むしろ古い CPU やソフトウェア暗号化のほうが影響が出ます。
Q2:Home エディションでも暗号化できる?
A:「デバイスの暗号化」なら可能です。ただし手動での細かい制御(特定ドライブだけ・暗号化モード選択)はできません。条件を満たせば Windows 11 24H2 で自動有効化されることもあります。本格的に制御したいなら Pro へ。
Q3:回復キーを忘れたらどうなる?
A:データは取り出せません。Microsoft Learn と PC Watch がともに警告するとおり、正規の回復キーがなければドライブを初期化して再インストールするしかありません。だからこそ 3 か所保管が鉄則です。
Q4:暗号化していればバックアップは不要?
A:まったくの別物です。暗号化は「他人に読まれない(機密性)」を守るだけで、SSD が故障すれば暗号化されたデータごと失われます。可用性は バックアップ、対攻撃は ランサムウェア対策 が担います。
Q5:デュアルブートや Linux 併用でも使える?
A:注意が必要です。BitLocker は Windows の起動構成を前提にするため、デュアルブート環境ではブートローダ変更が回復キーを要求する原因になります。Linux 併用機では VeraCrypt や Linux 側の LUKS を検討する選択肢もあります。
まとめ
ビジネス自作PC のディスク暗号化は、盗難・紛失・修理・廃棄という「ドライブが物理的に他人の手に渡る」場面を埋める最後のピースです。急所は 3 つだけ。
- Windows 11 Pro + BitLocker で OS ドライブを暗号化 — Home なら デバイスの暗号化で代替、TPM 2.0(fTPM/PTT)を先に有効化
- 回復キーを 3 か所に保管 — Microsoft アカウント + 印刷 + USB。暗号化ドライブ自身には絶対に置かない
- BIOS 更新・ハード交換の前に「保護の中断」 — 自作ユーザー最頻出の回復キー事故を防ぐ唯一の習慣
UPS が「正常終了の時間」を、サージプロテクタが「機材」を、バックアップが「データの存在」を、ランサム対策が「攻撃」を守るのに対し、暗号化は「データの機密性」を守る最後の 1 枚です。5 点セット(UPS / サージプロテクタ / バックアップ / ランサム対策 / 暗号化)で、ビジネス自作PC のデータ保護が完成します。
これから自作PC を組む人は、クリーンインストール → TPM 有効化 → BitLocker 有効化 → 回復キー 3 か所保管を初日の手順に組み込んでください。フラッグシップ構成例は #001 予算25万円で組む2026年版コスパビジネスPC、長期運用への組み込みは 自作PC メンテナンス完全スケジュール を合わせて読むと完成度が上がります。
出典・参考情報
- Microsoft Learn:BitLocker overview
- Microsoft Support:Device encryption in Windows
- Microsoft Support:Enable TPM 2.0 on your PC
- Microsoft Learn:BitLocker 回復の概要
- Dell:マザーボードの交換後に BitLocker が回復キーを要求する
- ASCII:Windows 11 24H2 ではデバイスの暗号化の条件が変わる
- PC Watch:回復キーを無くすと終わる BitLocker 入門