企業における個人情報の廃棄・削除のポイントについて

企業が個人情報を取り扱う際は、管理だけでなく廃棄や削除の際にも細心の注意を払わなければいけません。
そうしなければ、手放した後、その個人情報に関する責任を追及される可能性があります。
ここからは、企業における個人情報の廃棄・削除のポイントを詳しく見ていきたいと思います。

企業が個人情報を廃棄・削除する際の注意点2選
1. 復元できない方法で実施する
2. 廃棄や削除の記録を残す
企業が個人情報の廃棄・削除を外部委託する際のポイント3選
外部業者における個人情報の廃棄・削除方法について
1. 焼却処分
2. 溶解処理
まとめ

企業が個人情報を廃棄・削除する際の注意点2選

たとえ利用しなくなったものであっても、その個人情報が本人にとって重要なものであることに変わりはありません。
また、一度廃棄・削除したものでも、その方法が正しくなければ、第三者によって悪用されてしまう可能性は十分にあります。
そのため、廃棄または削除をする際は、以下の点に注意してください。

・復元できない方法で実施する
・廃棄や削除の記録を残す

復元できない方法で実施する

個人情報の廃棄や削除は、復元できない方法で実施しなければいけません。
一度企業の手から離れたものであっても、知識のある第三者や攻撃者が復元可能な状態であれば、それは個人情報の漏えいとほぼ同じです。
具体的には、パソコンの場合、市販のデータを上書き消去するソフトウェアを用いたり、強力な磁気を発生させる機器を用いて、ハードディスクの記憶演算子を破壊したりといった方法が挙げられます。
また、紙媒体の場合は、シュレッダーにかけて細かく切り刻み、個人情報の特定を不可能にする方法などを実施すべきです。

廃棄や削除の記録を残す

企業が個人情報を廃棄・削除した際には、必ず記録を残さなければいけません。
記録する項目としては、廃棄・削除日や廃棄・削除するファイルの種類、責任者の氏名などが考えられます。
また、これらの記録自体も、個人情報を含む機密文書に該当するため、鍵がかかったキャビネットなどで保存する必要があります。
ちなみに、個人情報の廃棄・削除を外部業者に委託する場合には、廃棄証明書の提出を求め、適切に処理されたかどうかをチェックしなければいけません。

企業が個人情報の廃棄・削除を外部委託する際のポイント3選

企業が利用しなくなった個人情報は、必ずしも当該企業が廃棄・削除しなければいけないというわけではありません。
依頼料を支払うことで、外部の専門業者に委託することも可能です。
また、このようなケースでは、以下のポイントを押さえておく必要があります。

・業者選びについて
・契約内容について
・再委託について

業者選びについて

まず、個人情報の廃棄・削除を依頼する業者の選び方ですが、このときチェックすべきなのは、適切な認証を得ている業者であるかどうかです。
例えば、外部業者がISOやプライバシーマーク、JAPHICマークといった認証を取得している場合は、正しい方法で個人情報を処理してもらえる可能性が高いです。
逆に、これらを取得していない場合、外部業者を通じて個人情報が流出してしまうことも考えられるため、注意してください。

契約内容について

個人情報の廃棄・削除を委託する場合、業者と締結する契約の内容もしっかりチェックしましょう。
以下のような内容が含まれる契約を結んで初めて、企業は安心してアウトソーシングをすることができます。

・秘密保持義務
・事業所からの個人情報の持ち出しの禁止
・個人情報の目的外利用の禁止

再委託について

近年は、ある企業が業務を委託した業者から、さらに他の業者に委託される再委託が実施されるケースも増えています。
つまり、最初に個人情報の廃棄・削除を委託した外部業者が、必ずしも直接情報を処理するとは限らないということです。
また、このような仕組みの契約では、個人情報の漏えいや情報セキュリティ事故が発生した際、責任の所在が複雑になる可能性があります。
そのため、できる限り再委託は避けることが無難です。

外部業者における個人情報の廃棄・削除方法について

企業が個人情報を廃棄または削除する場合、シュレッダーやデータ上書きソフトウェアなどを使用するのが一般的です。
一方、外部業者はその道のプロフェッショナルであるため、他にもさまざまな方法で廃棄や削除を行います。
代表的なものは以下の2つです。

・焼却処分
・溶解処理

焼却処分

焼却処分は、箱に詰めた個人情報などの文書を外部業者が回収し、箱ごと焼却するという方法が種類です。
燃やしてしまうため、文書は完全に抹消される上、紙媒体だけでなくデータの入った媒体なども合わせて処理できます。
しかし、環境に悪影響を及ぼすことから、こちらの方法を採用している外部業者は決して多くありません。

溶解処理

溶解処理は、個人情報の含まれる文書を溶解釜内で細かく粉砕し、液状化して処理する方法です。
また、溶解後は紙としてリサイクルされるため、環境にも優しいです。
その反面、こちらの方法を採用している外部業者に委託する際は、コストが高くなりやすい傾向にあります。

まとめ

ここまで、企業における個人情報の廃棄・削除のポイントを解説してきたが、いかがでしたでしょうか？
本記事でも登場したJAPHICマークは、個人情報保護法に準拠し、個人情報について適切な保護措置を講ずる体制を整備し、運用している企業が取得できるマークです。
個人情報の廃棄・削除を外部委託する際には、必ずこちらを取得しているか確認し、興味がある企業は、自社での取得も目指すことをおすすめします。

Name お名前必須
Mail Address メールアドレス必須	(半角入力）
Mail Address Confirm メールアドレス（確認）必須	(半角入力）
Phone Number 電話番号必須	(半角入力）
Zip Code 郵便番号必須	(半角入力）
Prefectures 都道府県必須
Address ご住所必須
Inquiry お問い合わせ内容必須