fbpx

情報セキュリティにまつわる
お役立ち情報を発信

個人情報の安全な廃棄/Pマークで推奨される対策 その2

 

取得から廃棄に至るまで個人情報を安全に保護することはプライバシーマーク(Pマーク)取得会社の責務です。

前回から個人情報を安全に廃棄する点でプライバシーマーク(Pマーク)において推奨されている9つの対策をご紹介しています。今回の記事はその第2回です。

 

記録媒体を廃棄する際は情報を完全消去する

ここでいう「記録媒体」とはコンピュータ上の電子データを格納するメディアのことで、一般的にも利用されているUSBメモリやCD-R、外付けHDDなどを指しています。

このような媒体を廃棄する場合は、媒体そのものを物理的に破壊する場合以外は必ずデータを完全消去して再利用できないようにしなければなりません。

「完全消去」とは単にファイルをパソコン上のごみ箱に入れたうえで「ごみ箱を空にする」を選択することとは違います。この方法では見かけ上は存在しなくなっても、専用のツールを使えばデータを復活・更新させられます。

そうではなくデータ完全消去用のソフトを利用するとか磁気でデータを破壊するなどの方法を取って完全消去する必要があります。

 

データを廃棄した記録を取っておく

プライバシーマーク(Pマーク)取得会社が廃棄した個人情報が万一その後に漏えいした場合、真っ先に問題になることの一つに本当に廃棄したのかどうかという点が出てきます。

そういった事態に備えてプライバシーマーク(Pマーク)ではデータを確実に処分したことの証明となるものを作っておくことが望ましいとされています。

ただ必ずしも廃棄を証明するための記録様式を別途作成する必要はありません。個人情報管理台帳などに廃棄済みであることを記入できる欄を設けてその部分を記録とすることもできます。

 

委託している場合は廃棄証明書を取得する

多くの会社は個人情報の廃棄を外部に委託しています。もちろん委託先はプライバシーマーク(Pマーク)を取得している業者であるなど安全性が確認できる事業者であることがよいでしょう。

そして業者に廃棄を委託する場合は廃棄証明書を取得するようにしましょう。「廃棄証明書」とは預かった個人情報をその業者が確実に処分したことを証する書面です。これを取得することで廃棄業者による個人情報の不正な再利用のリスクを低減できます。

 

機器を返却する場合も情報を完全消去する

プライバシーマーク(Pマーク)取得会社の中には業務用のパソコンやコピー機をリースやレンタルで調達するところもあるでしょう。この場合は契約更新しない限り契約終了後に機器をリース業者またはレンタル業者に返却することになります。

機器を返却するときに忘れてはならないのはその中に保存された業務関連のデータを完全消去することです。もちろん個人情報もです。そうしなければ返却先で情報が流出するおそれがあります。

必要な措置としてはデータ完全消去ツールを利用する、または業者側に契約上で完全消去義務を負担させるなどの方法があります。

 
まとめ
個人情報を安全に廃棄するためにプライバシーマーク(Pマーク)取得会社にできることはまだあります。次回の記事で残る3つの対策を解説します。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る