個人情報の安全な廃棄/Pマークで推奨される対策 その2
取得から廃棄に至るまで個人情報を安全に保護することはプライバシーマーク(Pマーク)取得会社の責務です。
前回から個人情報を安全に廃棄する点でプライバシーマーク(Pマーク)において推奨されている9つの対策をご紹介しています。今回の記事はその第2回です。
記録媒体を廃棄する際は情報を完全消去する
ここでいう「記録媒体」とはコンピュータ上の電子データを格納するメディアのことで、一般的にも利用されているUSBメモリやCD-R、外付けHDDなどを指しています。
このような媒体を廃棄する場合は、媒体そのものを物理的に破壊する場合以外は必ずデータを完全消去して再利用できないようにしなければなりません。
「完全消去」とは単にファイルをパソコン上のごみ箱に入れたうえで「ごみ箱を空にする」を選択することとは違います。この方法では見かけ上は存在しなくなっても、専用のツールを使えばデータを復活・更新させられます。
そうではなくデータ完全消去用のソフトを利用するとか磁気でデータを破壊するなどの方法を取って完全消去する必要があります。
データを廃棄した記録を取っておく
プライバシーマーク(Pマーク)取得会社が廃棄した個人情報が万一その後に漏えいした場合、真っ先に問題になることの一つに本当に廃棄したのかどうかという点が出てきます。
そういった事態に備えてプライバシーマーク(Pマーク)ではデータを確実に処分したことの証明となるものを作っておくことが望ましいとされています。
ただ必ずしも廃棄を証明するための記録様式を別途作成する必要はありません。個人情報管理台帳などに廃棄済みであることを記入できる欄を設けてその部分を記録とすることもできます。
委託している場合は廃棄証明書を取得する
多くの会社は個人情報の廃棄を外部に委託しています。もちろん委託先はプライバシーマーク(Pマーク)を取得している業者であるなど安全性が確認できる事業者であることがよいでしょう。
そして業者に廃棄を委託する場合は廃棄証明書を取得するようにしましょう。「廃棄証明書」とは預かった個人情報をその業者が確実に処分したことを証する書面です。これを取得することで廃棄業者による個人情報の不正な再利用のリスクを低減できます。
機器を返却する場合も情報を完全消去する
プライバシーマーク(Pマーク)取得会社の中には業務用のパソコンやコピー機をリースやレンタルで調達するところもあるでしょう。この場合は契約更新しない限り契約終了後に機器をリース業者またはレンタル業者に返却することになります。
機器を返却するときに忘れてはならないのはその中に保存された業務関連のデータを完全消去することです。もちろん個人情報もです。そうしなければ返却先で情報が流出するおそれがあります。
必要な措置としてはデータ完全消去ツールを利用する、または業者側に契約上で完全消去義務を負担させるなどの方法があります。
まとめ
個人情報を安全に廃棄するためにプライバシーマーク(Pマーク)取得会社にできることはまだあります。次回の記事で残る3つの対策を解説します。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]