一般財団法人日本情報経済社会推進協会(JIPDEC) プライバシーマーク推進センターが作成した、(平成 28 年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」によると、平成28年度中のプライバシーマーク付与事業者から報告があった個人情報取扱事故件数は2044件とのことです。
そのうち、個人情報を含む機密文書の誤廃棄は27件あったと報告しています。機密文書の誤廃棄は全体の1.3%と決して高い比率ではありません。しかし、機密文書の誤廃棄は毎年一定数報告があることから、機密文書の情報漏えい対策を考える上では見過ごすことができないセキュリティリスクです。
また、マイナンバー法により特定個人情報を含む機密文書の廃棄が義務化されました。そのため、機密文書の廃棄は企業にとって重要な課題となっています。
マイナンバー法により特定個人情報を含む機密文書の廃棄が義務化
個人情報保護法では、「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない(第19条)」と定められ、個人データを含む機密文書の廃棄は努力義務でした。
しかし、マイナンバー法では「番号法第19条各号のいずれかに該当する場合を除き、特定個人情報を収集又は保管してはならない(第20条)」と定められました。「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、「番号法で限定的に明記された事務を処理する必要がなくなった場合で、所管法令において定められている保存期間を経過した場合には、個人番号をできるだけ速やかに廃棄又は削除しなければならない。」と解説しています。
要するに、特定個人情報を含む機密文書については、事務処理で使用することなく、法定の保管期限が切れた場合には廃棄又は削除することが義務付けられたのです。
特定個人情報を含む機密文書を廃棄及び削除する上でのポイント
特定個人情報を含む機密文書を廃棄及び削除する上で、ポイントが2つあります。
1.できるだけ速やかに復元不可能な手段で削除又は廃棄する
「できるだけ速やかに」といっても、法定の保存期間終了後に間髪を入れず、廃棄しないといけない訳ではありません。廃棄までの期間については、事業者が安全性と効率性を勘案し、「毎年度末に廃棄を行う」等と取り決めてもよいとされています。
2.廃棄又は削除した場合には記録をとる
特定個人情報を含む機密文書を削除した場合や、電子媒体を廃棄した場合には、削除又は廃棄した記録を保存する必要があります。記録する項目としては、「廃棄日」「廃棄するファイルの種類」「廃棄責任者」などが考えられます。この廃棄記録も個人情報を含む機密文書となりますので、鍵のかけられたキャビネットなどで管理する必要があります。
また、機密文書の廃棄を外部の業者に委託する場合には、廃棄証明書を提出してもらい、適切に機密文書が廃棄されたかを確認する必要があります。
特定個人情報を含む機密文書を廃棄する具体的な方法
個人情報保護委員会が作成した「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」では、特定個人情報を含む機密文書を廃棄する具体的な方法として以下を例示しています。
- 特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解、復元不可能な程度に細断可能なシュレッダーの利用、個人番号部分を復元不可能な程度にマスキングすること等の復元不可能な手段を採用する
- 特定個人情報等が記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用する
- 特定個人情報等を取り扱う情報システム又は機器等において、特定個人情報ファイル中の個人番号又は一部の特定個人情報等を削除する場合、容易に復元できない手段を採用する
- 特定個人情報等を取り扱う情報システムにおいては、保存期間経過後における個人番号の削除を前提とした情報システムを構築する
- 人番号が記載された書類等については、保存期間経過後における廃棄を前提とした手続を定める
ただし、事業者のうち従業員の数が100人以下の中小規模事業者においては、責任ある者が特定個人情報を含む機密文書を廃棄または削除したことを確認するという対応でも良いとされています。(個人番号利用事務実施者や金融分野の事業者、過去6月以内に5000件以上の個人情報を保有している事業者は対象外となります。)
機密文書の廃棄を委託する場合の注意点
特定個人情報に限らず、機密文書の廃棄を委託する場合には以下の3点に注意する必要があります。
適切な廃棄業者を選定する
あまり知られていませんが、「廃棄書類の運搬作業中の落下・散乱した」「機密文書が入ったPCがデータを削除されずにリサイクル店に流出した」といった廃棄業者からの情報漏えい事故は頻繁に発生しています。
そのため、適切に廃棄処理を行う業者を選定することが必要です。情報セキュリティマネジメントシステム認証のISO27001やプライバシーマークといった第三者認証を取得している業者を選ぶことも一つの判断基準になるかもしれません。
適切な委託契約を締結する
契約書には、以下を盛り込むことが推奨されています。
- 秘密保持義務
- 事業所内からの機密文書の持出しの禁止
- 個人情報の目的外利用の禁止
- 再委託における条件(再委託時には事前に書面で同意を得ること)
- 漏えい事案等が発生した場合の委託先の責任
- 従業者に対する監督・教
- 契約内容の遵守状況について報告を求める
再委託先、再々委託先の監督
機密文書の廃棄処理を委託する場合には、廃棄業者の再委託に注意してください。情報漏えいの責任は、どこまでいっても委託元にあります。委託契約書に、再委託の場合には書面で同意を得ることのほか、再委託先への立入検査を実施する権利についても定めることをおすすめします。
機密文書廃棄時の注意点:まとめ
マイナンバー法により、法定期限を過ぎた特定個人情報を含む機密文書の廃棄が義務化されました。廃棄時の情報漏えい事件も度々発生していることから、機密文書の廃棄処理は適切に行う必要があります。
特に、機密文書の廃棄処理を機密文書処理業者などに委託する場合には、適切な業者の選定、委託契約の締結を行う必要があります。なかでも、再委託先の管理は盲点になりやすいので、忘れないで対策しておきましょう。
【参考文献】
・平成28年度「個人情報の取扱いにおける事故報告にみる傾向と注意点」
https://privacymark.jp/system/reference/index.html
・ 特定個人情報の適正な取扱いに関するガイドライン(事業者編)
https://www.ppc.go.jp/legal/policy/