「えっ!! あの資料捨てちゃったの? 今度使おうと思ってたのに。」
こういう事ってよくありますよね・・・
自分にとっては重要なデータでも、第三者から見ると大して重要に映らないという事はよく起こります。
しかし、これを嘆いてはいけません。 そもそも、あなたの大切なデータに第三者が容易にアクセスできてしまう状態を放置したこと自体に問題があったのです。
この例が示すように、会社の備品やデータを捨てる場合、独自の判断で処理してしまいがちです。しかし、しっかりとした廃棄ルールを策定して、このルールに従って廃棄しなければ、いざその資産が必要になった段階で“紛失事故”になってしまいます。
既にISMSやPMSを運用している会社でも、この「廃棄」プロセスにおける情報資産の漏洩リスク対策が不十分なところが多いですから、マネジメントシステムを持たない企業ではなおさらです。
まず、社内の情報資産毎に保管期間が決められていません。
会社の納税関連書類などには、法定保管期間が定められていますが、私的な文書は自らがルール付けしないと使いもしない文書が大量に何時までも社内に残留することになります。
どのような理由で保管が必要なのか考えることで、妥当な保管期間は決まるものです。
また、情報資産ごとの廃棄方法も重要です。 文書などの紙データの場合は、少量ならば社内のシュレッダーで処理できるでしょうが、大量になるとそうもいきません。運送業者の溶解(焼却)サービスを利用するか、専門の廃棄業者に依頼して処理してもらうことになるでしょう。
廃棄するのが個人情報の場合、個人情報取扱事業者が廃棄を外部事業者に委託する際には個人情報保護法第22条の「委託先の監督」義務を守る必要がありますのでご注意を。。。
そこでまず問題となるのが、廃棄事業者の選定基準です。
廃棄物が機密性の高い資産である場合、そういうものを扱っているのだという意識で対応してくれるかどうか、精査する必要があります。委託する側が廃棄業者の指導・監督を行わなければならないのです。
委託の際前提となるのは、委託側・受託側それぞれの責任範囲の明確化ですが、実際の指導・監督においては以下のような点にも注意が必要です。
1.委託する側が求める安全管理措置を盛り込んだ委託契約の締結
2.定期的な業務報告の実施
3.委託業務の再委託の禁止(もしくは再委託の際の事前報告と承諾)
また、約束したプロセスに沿って廃棄が完了したことを「廃棄証明書」で報告してもらいましょう。万一、廃棄プロセスの途中で漏洩事故が起こっても、責任の所在がより明確となります。
次に、廃棄担当者や責任者が明確でないという問題もあります。
ある会社では、特定の重要社内文書を廃棄する場合は、予め決められた廃棄責任者に申請して許可をもらい、さらに複数の担当者が立会いのもと廃棄するほど気を使っています。
この会社では、これらの廃棄方法が全て「文書管理規程」や「記録メディア廃棄規程」として文書化され、日常の業務の中に根付いています。 一般の企業でも、情報資産の「取得」や「利用」・「保管」のプロセスばかりでなく、「廃棄」プロセスにももっと注意を払う必要があると思います。
ちょっと飛躍が過ぎるかもしれませんが、ルールを作成する場合も、まず“捨てる”ところから考えてみてはどうでしょうか。捨てるところから集める・作るところを想像してみる。
もしかしたら、
「こんなもの、結局使ってないじゃないか。」
と、不要な情報資産まで集めてしまっていたことに気づくかもしれませんね。
