ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第19回目です。

さて、今回は個人情報の廃棄における統制活動に関して解説しましょう。

多くの企業のWebサイトで公開されている、個人情報保護方針。個人情報の安全保護についての部分には、「個人情報の保存・管理および廃棄ルールを徹底することで、個人情報の盗難、紛失、破壊、改ざん、漏洩についての予防措置を講じます。」という画一的な表記が目立ちます。しかし、本当に廃棄ルールが徹底されているでしょうか。
実際に、個人情報の廃棄の段階にも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の廃棄におけるリスク

具体的に、2つのリスクが想定できます。
●不適切な廃棄方法によって個人情報が漏洩するリスク
●定期的な廃棄をしなかったため大量の情報が保有され、結果的に大量の個人情報が漏洩するリスク

いずれも個人情報保護法違反となる可能性があります。最近では個人情報漏洩をきっかけに、株価を大きく下げてしまう上場企業も少なくありません。企業のブランドイメージ保護の観点からも、しっかりとした統制活動が不可欠でしょう。

■個人情報の廃棄における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：廃棄に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
●個人情報の廃棄タイミングを設定する
　※取得後、一律3年で廃棄する
　※1年以上利用されていない個人情報は廃棄する
●記録媒体別に廃棄方法を設定する
　（特にデータに対しては、物理的な破壊を行うことが必須）
　※紙の資料（シュレッダー処理を行う）
　※CD・フロッピーディスク・ハードディスク（データ消去プログラムで固定データによる塗潰し消去を2回行う、など）

2：廃棄記録の作成・保管

取得から一定期間が経過した個人情報が廃棄されたのか、あるいはまだ社内に保管されているのか、状況を常時正確に把握できるように、廃棄記録を作成することが重要です。廃棄記録には、項目として最低でも下記の5つの情報を記録することが要求されます。

◎廃棄者名
◎廃棄期日
◎廃棄情報名(ファイル名)
◎廃棄方法
◎責任者認証

3：管理者による定期的な確認作業

実際に個人情報を保有している各部署の責任者が、個人情報の廃棄における社内ルール遵守状況を定期的に確認することも非常に重要です。

◎設定された時期に廃棄が行われているか
◎書類、メディアなどが社内ルールに則った方法で廃棄されているか
◎廃棄記録は適切に作成されているか　など

いかがでしょう。
4回にわたって、個人情報管理における統制活動に関して具体的に解説してきました。
このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備しながら、ぜひ強固な内部統制を確立してください。
Dr.QがITサプリをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。