現在では、クレジットカードの番号、マイナンバーなど、個人を特定できる情報(個人情報)は、非常に価値のあるもので、金銭でやり取りされるものの一つになっています。こうした金銭で売買される個人情報は、ともすれば犯罪に利用されるケースもあります。そのため、個人情報の適切な管理は、企業などすべての組織にとって非常に重要なものとなっています。
個人情報の管理の大切なポイントの一つに、マイナンバー制度でも義務化された「適切な廃棄」があります。必要なくなった個人情報をどのように廃棄するのか見ていきましょう。
個人情報を廃棄・削除する際の注意点
個人情報は、個人を特定することができるため、一旦流出してしまうと大きな問題となります。廃棄や削除をする際にはどういったことに気をつける必要があるのでしょうか。
復元不可能な方法で行う
第一に「復元できない方法で行う」ということです。配意した個人情報が復元されてしまうと、外部への情報の流出につながります。必ず復元不可能な廃棄方法を利用することが大切です。
廃棄・削除したことを記録しておく
第二に、「廃棄や削除の記録をとる」ことです。個人情報が含まれた書類や記録媒体を廃棄した際には、廃棄記録として「廃棄した日」「内容」「廃棄責任者」などを記録しておきます。この廃棄記録も厳重に保管しておくことが大切です。
マイナンバーが記載された書類は保存期間に注意
書類などにマイナンバーが含まれている場合は、保存期間にも注意が必要です。マイナンバー制度では、関係法令の規定に沿って個人情報の含まれた文書の保存期間が定められています。そして保存期間終了後は適切に廃棄することが義務付けられています。
個人情報の具体的な廃棄方法
個人情報を廃棄する際には、廃棄方法や記録などに気をつける必要があります。では、そうしたことを踏まえて、具体的にどういった方法で廃棄すれば良いのでしょうか。
紙の場合
個人情報が紙の場合は、その文書が読めなくするようにすることが必要です。具体的には「焼却」「薬剤による溶解」「シュレッダーによる破砕」や「個人情報部分を読めないようにマスキング」といった方法があります。
電子データの場合
個人情報がデータで存在する場合は、データを削除や破壊することで使えなくする、加えて復元できなくすることが必要です。具体的な方法には、「データ削除ソフトによる消去」「ハードディスクなどの媒体の物理破壊」などがあります。
記録媒体の場合
データとして存在するケースとして、実際にコンピュータやハードディスクなど以外に、CDやDVDなどの外部記録媒体に保存されているといったものがあります。この場合は、「媒体の物理破壊」や「専用ソフトウェアによる消去処理」などによって、データを復元不可能な方法で破壊する必要があります。
個人情報の廃棄を委託する場合の注意点
個人情報の廃棄を自社で行うのでなく、外部に委託することもあるでしょう。こうしたケースでは、どういったところに気をつけると良いのでしょうか。
適切な業者を選定する
セキュリティ事故の中には、個人情報が廃棄業者を通して外部に流出してしまったという事例もあります。外部に委託する場合は、ISO27001やプライバシーマークといった適切な認証を得ている信頼できる業者に委託するのが良いでしょう。
適切な委託契約を行う
個人情報は、一旦外部に流出してしまうと大きな問題となります。したがって、廃棄を外部に委託する場合は、以下のような内容を含めた適切な契約を行う必要があります。
- 秘密保持義務
- 事業所内からの機密文書の持出しの禁
- 個人情報の目的外利用の禁止
情報に関する秘密を守ることや、外部への持ち出し、目的外の利用など漏洩を防ぐための内容が含まれていることが不可欠です。
再委託、再々委託等の確認
現代では、ある業務を委託した業者が他の業者に改めて委託する再委託や、それを繰り返す再々委託といったことが一般的となっています。しかし、個人情報に関することで、こうしたことが行われると、外部への漏洩のリスクを高めることにつながりかねないし、セキュリティ事故が発生した場合は委託元の責任となります。再委託等の場合はどのようにするかといった点についてもしっかりと確認と契約を交わしておきましょう。
まとめ
個人を特定できる個人情報は、ひとたび外部への流出や漏洩が起こってしまうと非常に大きな問題となります。こうしたセキュリティ事故を防ぐためには、非常に厳密な運用管理が求められます。
個人情報の管理のうちで、外部への流出や漏洩が起こってしまうリスクがあるものの一つに「廃棄」プロセスがあります。廃棄や削除の際には、今回紹介したように、「専用ツールを使ったデータ消去」「物理的破壊」など適切な方法を使うことはもちろんのこと、外部委託を行う場合は、適切な業者にしっかりとした契約に基づいて作業をさせるといったことも大切です。
個人情報には、単なる「個人情報」と「特定個人情報」の2種類があります。これらの違いは、マイナンバーが含まれているかどうかです。マイナンバーが含まれているものが「特定個人情報」であり、マイナンバーの取り扱いガイドラインに基づいた、より厳密な管理が必要となります。