誤廃棄してしまう6つの要因 Pマーク徹底検証！ その1

「間違って必要な書類を捨ててしまった！」 そんな経験はだれにでもあるのではないでしょうか。

業務で取得している個人情報を誤って廃棄してしまうということはプライバシーマーク（Pマーク）を取得している会社であっても100パーセント防ぎ得るものではありません。同一の個人情報を電子データと紙の2つの媒体で保管している場合はまだしも紙だけしか存在しないような個人情報の誤廃棄の場合は大変です。

誤って廃棄したことによるトラブル

このような話をしたのは、個人情報を誤って捨ててしまうという事故が単に発生しやすいというより個人情報保護への関心が高まっている昨今の社会において現に頻発しているという事実があるからです。

先日セキュリティメディアで報道された以下のニュースもその一例です。

申請書などを保管期間満了前に誤廃棄 – 港区

東京都港区の役所が申請書などの重要な書類を保管すべき期間が終わらないうちに廃棄してしまったというのがニュースの要点です。この申請書とは「いずれも溶解処理されており、個人情報の流出については否定している」というニュースの最後の一文からして個人情報を含むものであったことが読み取れます。

プライバシーマーク（Pマーク）取得会社としてはこのような誤廃棄トラブルを何としてでも防止したいところですが、そのために必要なのは「そもそもなぜ保管期間満了前に書類を捨ててしまうことがあるのか」という、問題の原因となる部分をまず明確にすることです。

それではその原因をこれから2つの記事に分けてご一緒に考えていきましょう。もっともセキュリティ事故の原因というものは常に無数に存在しますので、以下に挙げるものがすべてではないことをご理解ください。また以下に列挙する原因が上記のニュースで取り上げられていた事故における原因であると断定する意図はありませんので、その点もご理解いただければと思います。

そもそも保管期間が決められていない

根本的な要因ですが、取得した個人情報の保管期間をそもそも会社として決めていなかったという状況が誤廃棄の原因となることもあります。プライバシーマーク（Pマーク）を取得・更新している会社であれば個人情報の保管期間を定めているはずなのですが、取得していない会社の場合であれば定めていないケースもあります。

「保管期間を決めてないのであれば“保管期間満了前に捨ててしまう”という問題も起こりえないのでは？」と思った方もいらっしゃるかもしれませんが、個人情報の中には法律によって保存期間が定められているものがあることを見落としてはなりません。たとえば労務関係の書類などです。

このような書類の場合、法律だけでなく社内においても保管期間を定めてルール化・手順化し、定期的に更新しておく必要があります。それを怠ると法律に準拠しない方法で文書の保管や廃棄の作業を行ってしまうことになります。

保管期間を識別できるラベルがない

保管期間を定めていても、書類を保管する現場でそれをすぐに確認できないことが誤廃棄の要因となってしまうこともあります。

多くのプライバシーマーク（Pマーク）取得会社は社内で定めた保管期間を個人情報管理台帳などに記載していますが、そのような場所に記載するだけでは不十分な場合もあります。

特に注意が必要な場合は個人情報を収めているファイルそのものに保管期間を記したラベルを貼るなどの手段を講じる必要もあるかもしれません。

まとめ

本日はここまでです。次回に続きます。

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】