特定個人情報の廃棄は、どのような方法で行う必要があるのか?

マイナンバーの取扱いは収集と保管に意識が行きがちですが、廃棄についてもルールがあります。廃棄の際のルールである「復元できない状態」とするためにはどのような廃棄方法を行えばよいのでしょうか?

特定個人情報の廃棄とは?

マイナンバーを含む特定個人情報は、収集・利用・保管・廃棄の全てにおいて法律で決められた通りに扱わなければなりません。
将来再度必要になるかもしれないからといって、利用目的がなくなった情報をいつまでも保管しておくということは禁じられています。
従業員が退職するなどして利用目的がなくなった特定個人情報は、できるだけ速やかに廃棄しなければならないと定められています。

復元不可能な状態での廃棄が必要です

利用目的がなくなった個人情報を廃棄する場合は、廃棄した書類やハードディスクなどから情報が漏洩しないように、「復元できない手段」で廃棄することが必要とされています。
個人番号関係事務又は個人番号利用事務を行う必要がなくなった場合で、所管法令等において定められている保存期間等を経過した場合には、個人番号をできるだけ速やかに復元できない手段で削除又は廃棄する。
それでは、「復元できない」とは、具体的にはどのような廃棄方法を行えばよいのでしょうか。

書類の廃棄

(34797)

via pixabay.com
マイナンバーを書類に記録して保管していた場合は、「焼却または溶解」すべきとされています。
確かに燃やしてしまえば復元はできないですね。
特定個人情報等が記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用する。
現代の企業が焼却炉を持っているということは殆どないかと思いますが、かといって必ず業者に依頼しなければならないわけではありません。
政府のガイドラインでは、従来の個人情報と近い扱いとも言える「シュレッダー」でも問題ないとされています。
Q15-3「d 個人番号の削除、機器及び電子媒体等の廃棄」における書類等の廃棄に係る復元不可能な手段として焼却又は溶解が挙げられていますが、他の手段は認められますか。
A15-3例えば、復元不可能な程度に細断可能なシュレッダーの利用又は個人番号部分を復元できない程度にマスキングすること等が考えられます。
(34794)

via pixabay.com

特定個人情報をデータで保管した場合は?

(34795)

via pixabay.com
特定個人情報をデータとして保管した場合は、通常のシュレッダーにかけることができません。
電子機器で保管した場合の「容易に復元できない状態」とは、具体的にはどこまでの処置が必要なのでしょうか。

政府ガイドラインのQ&Aには、以下に引用するような内容が記載されています。

Q15-2「d 個人番号の削除、機器及び電子媒体等の廃棄」における「容易に復元できない手段」とは、具体的にどのような手段が考えられますか。
A15-2データ復元用の専用ソフトウェア、プログラム、装置等を用いなければ復元できない場合には、容易に復元できない方法と考えられます。
理想は、データを記録していた機器の物理的な破壊です。
「ハードディスク粉砕機」や、CD・DVD向けのシュレッダーなどを使って、機器を破壊してしまえば、復元できない状態になりますので、安全です。
(34800)

via pixabay.com

さらに、廃棄した記録を保存する必要があります

個人番号若しくは特定個人情報ファイルを削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存する。また、これらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認する。
確実に廃棄したという記録を残す必要があります。
業者に依頼した場合は、証明書を受け取って確認すべしとされています。

収集・保管の時点から廃棄を想定しておきましょう

廃棄又は削除を前提とした「保管体制」・「システム構築」をすることが望ましいでしょう。
こうしてみると、ただ廃棄と言っても場合によっては専門業者に依頼する必要性など手間が必要になります。
想定外のコストがかかったりしないようにするには、収集・保管をする段階から廃棄方法を想定した方法をとっておくのがベストですね。
(34803)

via pixabay.com

あなたにオススメのコンテンツ



シェアする

  • このエントリーをはてなブックマークに追加

フォローする


, , , , ufopilot39