個人情報保護委員会から、
「データの消去に関する注意喚起(注意喚起)」の案内が発信されています。(2月6日)
(個人情報保護委員会HPより抜粋:https://www.ppc.go.jp/news/careful_information/data_syokyo/)
これは、いろいろな背景はあると思いますが、
このタイミングだと、やはりブロードリンク元社員によるHDD転売事件の影響でしょうね。
過去記事:ブロードリンク元社員によるHDD転売事件
また、プライバシーマークを取得している企業では、
最近の新JISによる審査で、
データの消去について念入りに聞かれるようになっていると思います。
これは、「利用期限」と「保管期限」を明確にすること!
といった要求事項が新JISに追加されたためですが、
この要求事項が追加された背景は、
2014年に起こったベネッセの個人情報流出事故だと言われています。
流出した個人データには、かなり古いデータが含まれており、
とっくに退会している元会員情報も大量に保管していたことが問題となりました。
データの安全管理をしっかりとすることはもちろんですが、
意外と疎かになりやすいのが「消去」のこと。
もしかしたら何年か後に利用するかも??と無駄に保管し続けることは、
リスクを持ち続けることになります。
安全に保管するルールだけでなく、
「利用する必要がなくなったら消去すること!」を社内でルール化しましょう。
単に「不要になったら削除」(という暗黙ルール)だと、担当者は「それっていつ?」というのが判断できないので、
ついつい持ち続ける傾向があります。
なので、敢えて「期限を明確にする」という要求事項ができたわけです。
この機会にぜひ「不要になったら」っていつ??
の部分を明確にして、消去作業のタイミングを決めてルーチン化しましょう。
また、機密文書の廃棄やHDDの廃棄を外部に委託している会社も多いと思いますが、
委託先の監督も忘れずに!
<ポイント>
1.利用する必要がなくなったら消去すること!
(いつ?を明確にする)
2.消去は復元不可能な手段で行うこと!
(紙:シュレッダーや溶解、データ:消去ソフトの利用・物理的破壊など)
3.委託する場合は適切な監督を行うこと!
(業者の評価、消去方法の確認、消去証明書の取得など)
データ消去に関する注意喚起
