個人情報の安全な廃棄／Pマークで推奨される対策 その1

人間の一生と同じように個人情報にもライフサイクルというものがあります。個人情報のライフサイクルとは、個人情報が自社に入ってくる時から出ていく時までの一連の流れのことをいいます。そしてライフサイクルの中には取得・入力、移送・送信、利用・加工、保管・バックアップ、消去・廃棄というそれぞれの局面があります。

プライバシーマーク（Pマーク）取得会社はライフサイクルのどの局面においても個人情報が安全に管理されるように対策を講じなければなりませんが、今回は「廃棄」という局面に注目し、どのような個人情報保護対策が求められるのかを考察したいと思います。

廃棄とは何か

プライバシーマーク（Pマーク）のルールにおいて「廃棄」とは利用しなくなった個人情報を捨てるなどして処分する行為を指します。ここで必要なのは単純に処分することでなく再利用できないように処理をすることです。

取得や利用という目立った局面においては十分な安全管理措置が取られているプライバシーマーク（Pマーク）取得会社でも、廃棄という局面では若干対策が弱くなっている場合があります。

ですが廃棄の際の対策が十分でなかったことが原因で情報漏えいが発生してしまうことも意外とよく起こるのです。そのような事故を発生させないためにもプライバシーマーク（Pマーク）上で望ましい方法とされている9つの廃棄対策を実行しましょう。

保管期間を守る

個人情報に保管期間を定めることについてはプライバシーマーク（Pマーク）取得会社であれば実行しているはずです。

保管期間はその情報の利用の必要性に応じて定められるものですから、裏を返せば保管期間が過ぎた個人情報は基本的に利用の必要性がなくなったものであることになります。利用しない個人情報を持っていることはリスクとなりますから、必ず情報の必要の有無を検討して保存期間を更新するか、あるいはルールどおり廃棄するかのどちらかにすべきです。

媒体ごとに適切な廃棄の方法を選ぶ

物理的に存在している個人情報は必ずしも書類のような紙媒体に限られるわけではありません。電子データを保存した記憶媒体などのことも考慮に入れる必要があります。

媒体が違えば当然その中に含まれる情報を再利用できなくするための方法も異なるわけですから、プライバシーマーク（Pマーク）取得会社としては自社で利用している媒体の種類に応じて廃棄方法を定めておく必要があるのです。

紙媒体の場合、自社内の処理としてはシュレッダーにかけるなどして情報を再利用できないように裁断するのが最も安全な方法です。

電子記録媒体の場合ですが、CDなどのディスクの場合は円盤をカッターナイフで切断するだけでももはや読み取りができなくなります。もっともディスク用のシュレッダーを導入しているプライバシーマーク（Pマーク）取得会社であればそれを利用することもできます。

またハードディスクなども中のデータをコンピュータ上で消去するだけでなく物理的に破壊して廃棄する必要があります。

まとめ

以上、廃棄時の安全管理措置のうち最初の2つをご紹介しました。続く対策については次の記事で取り上げます。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】