廃棄する瞬間まで管理の意識を――情報の誤廃棄：セキュリティ対策は事前と事後をつなぐ時代（1/3 ページ）

情報管理は取り扱い時だけでなく、廃棄段階まで適切にするのが望ましい。しかし、利用が終われば管理意識が緩み、誤廃棄による情報漏えいも発生しかねない。今回はその対策に注目してみよう。

[尾崎孝章，デンカク]

本記事はセキュリティ事故への対策強化を考える連載の3回目です。前回はこちら。

　施錠保管やアクセス制限など、情報の保管・管理は紛失や第三者からの漏えいを防止するための情報セキュリティの取り組みである。しかし、情報を廃棄するという場面では「将来、利用するかもしれない」として不要な情報も永続的に保管し続けてしまうケースがある。個人であればモノが捨てられない性格でも良いが、組織の情報セキュリティでは、不要な情報は適時廃棄していくことが基本である。第3回は情報の保管と廃棄の場面にスポットを当て、管理の健全化を図ろうとする企業の取り組みを紹介しよう。

（本記事に登場する事例、人物、組織は架空のものです。）

事故はこうして起こった……

　社員60人ほどのデータ入力会社であるG社は、委託元からデータ入力のために毎月預かる大量の紙文書をスキャニングして画像化し、データ入力を専門とするパート社員が画像データを参照してデータ化をしていた。文書の原紙はデータ化が終了した後に廃棄業者に引き渡して廃棄する、もしくは委託元の指示がある場合には返却をしていた。

　ある日、社員の一人がいつものように、データ化が終了した後に原紙を段ボールに梱包して委託元へ返却する準備をしていた。その際、3箱あるうちの1つの段ボールが社内で見当たらないことに気付いたのである。段ボールは、1箱当たり5キロ近くもあり、間違えて持ち出すようなものではない。

　このため、誤って廃棄処理業者に引き渡さない限り社外へ出ることは考えにくい。社内には保管中のほかの段ボールが多数置いてあるため、返却管理を担当する入力部門のO部長と社員数人が段ボールを一つずつ開けて確認をしたが、原紙の入った段ボールを結局見つけることができなかった。

　すでにデータ入力の作業は終了していたため、作業上の問題はなかったものの、社内では誤廃棄されたものとして処理せざるを得ない。O部長が社長とともに委託元に謝罪しに行ったところ、委託元からは再発防止策の提出が求められ、その内容次第では取引停止が判断されることにまでなってしまった。直ちにO部長が中心となって対策を検討するとともに、セキュリティ会社のZ氏に助言を求めた。