会社にある個人情報の廃棄に困ったことはありませんか?
業務で個人情報を利用していて、「これは廃棄すべきものなのか」、「廃棄する場合はどうすればいいのか」、「持ち続けることにリスクはないのか」この3点はよく皆さん悩むポイントです。
例えば、履歴書1つにしても、不採用の場合に廃棄をどうするのか、シュレッダーにかけるのか、持ち続けることは会社として問題があるのではないか…様々な疑問点や悩み事が出てきます。
では、会社にある個人情報の廃棄の判断、手段としてはどのように行うべきなのでしょうか?
また、2022年の個人情報保護法改正への対応はお済みでしょうか? LRMでは、改正法への対応にお悩みの方へ向けて、頻出用語や具体的な改正点をまとめた資料を無料で配布しています。
こちらから無料でダウンロードできますので、ぜひご一読ください。
廃棄の判断基準
会社にある個人情報は、どの段階で「廃棄」という判断をすべきなのでしょうか?
使う理由がなくなったら即「廃棄」…それも1つの判断です。基本的には、予め保管期間を定めて、その期間が過ぎれば「廃棄」という流れになりますが、その保管期間を定める基準として、大きく3つのポイントがあります。
- 顧客との契約期間もしくは契約書で定められた保管期間
- 業務上必要と思われる保管期間
- 法令上定められている保管期間
顧客との取り決めがある場合や、自社の業務上必要とする期間を任意で取り決め(もしくは顧客と取り決め)、その期間を過ぎれば廃棄しても問題ありません。下記のような情報に関しては、法令上、保管期間が定められているので注意が必要です。
- 健康保険に関する書類:2年(健康保険法施行規則第34条)
- 労働者名簿/賃金台帳/雇入れ・解雇・災害補償・賃金その他労働関係に関する重要な書類:5年(労働基準法第109条)
- 健康診断個人票:5年(労働安全衛生規則第51条)
上記の保管期間を満たさず廃棄してしまうと、法律違反になってしまう恐れもあるわけです。
また、契約書で取り決めている場合でも、お互いの現場はそのことを知らない可能性もあります。
委託者、受託者ともに契約書上どうなっているのか、業務としてはどれくらい保管して置くべきなのかは、しっかりとすり合わせておく必要があります。
廃棄の手段
次に、保管期間を過ぎた個人情報の廃棄についですが、その個人情報が収められている媒体の種類によって変わってきます。
大きく媒体を分けると「紙」「電子データ」「記憶媒体」です。
紙の場合
一般的にはシュレッダーでの裁断です。裁断することでその内容が分からなくなるので、一番ポピュラーな廃棄方法と言えます。
もう1つ、最近増えているものとしては、溶解業者による溶解処分です。溶かすことで完全に再生できないようにすることが期待されますが、外部の業者に任せてしまうのでその会社から漏えいしてしまう可能性もゼロではありません。溶解を使う場合は、廃棄証明書の発行を必ず依頼し、可能であれば秘密保持契約を取っておくべきだと思います。
電子データの場合
利用しているPCやサーバーごと廃棄しないのであれば、「ゴミ箱に入れて削除」で問題ありません。
ただ、重要な情報なのであれば、完全削除するツール等を活用して削除するもの1つの手段になります。
また、PCやサーバーの廃棄に伴う電子データの削除の場合は、HDD内のデータを完全に削除できるツールの活用が求められます。
記憶媒体の場合
USBフラッシュメモリや、PCに内蔵されるHDDを指します。
記憶媒体に保存されるのは上記の電子データなので、データだけを消したい場合はHDD内のデータを完全に削除できるツールを活用し、データの削除を行い、媒体の廃棄で問題ありません。
そういったツールを利用せずに廃棄する場合は物理的な破壊が求められます。
USBメモリであれば破砕したり、HDDであればドリルで穴を空けたり、再利用できないよう処分しましょう。
廃棄しないことのリスク
契約に縛られない限り、個人情報の廃棄は会社の義務になることはあまりありません。
ですが、持ち続けることで、情報漏えいのリスクが増大してしまいます。
例えば、紙の個人情報は増えれば増えるほど、物理的に場所をとります。置く場所がなくなってくれば、どこに何があるか分からなくなり、外部の倉庫に保管せざるを得ない状態になります。
どこに何があるか分からなくなった場合、最悪のケースとして、情報漏えいが起きたことすらすぐに把握できず、被害が大きくなってしまう可能性もあるわけです。
また、外部の倉庫に保管することになると、社内の人間以外も個人情報に触れる可能性が出てくるため、情報漏えいの可能性が高まります。
業務上、「何かあった時に備えて」「念のため」という理由で保管期間を過ぎても個人情報を持っていることはよくありますが、それが原因で情報漏えいに繋がってしまっては意味がありません。
情報漏えいが起きないようにするためにも、必要のないもの・必要の薄いものは定期的に廃棄し、身軽になっているほうが情報漏えいの心配も下がり、業務効率の向上に繋がってくるのではないでしょうか。
また、2022年の個人情報保護法改正への対応にお悩みの方へ向けて、頻出用語や具体的な改正点をまとめた資料を無料で配布しています。
こちらから無料でダウンロードできますので、ぜひご一読ください。