続けて、Z氏は保管期限を決定したものを適切に廃棄していく手順をO部長に提案した。廃棄は個々の書類単位で行うと、どの書類をいつ廃棄したかを忘れてしまう。だが、廃棄記録をその度に残していたのでは運用負荷が高く、すぐに実行されなくなる。そこで、廃棄はG社のようなケースなら身近な段ボールなどの一定量の単位で行い、その代わりに「いつの記録をいつ誰が廃棄したか(廃棄の可視化)」を残しておくことにした。これは次の手順で廃棄していく。
識別用の紙は、外から何が梱包されているかが分かると重要な書類の認識が保管庫の入室者に分かってしまうため、あえて番号のみの記載にとどめた。
これにより、G社には定期的な情報の廃棄を通じて社内の書類のスリム化を図るとともに、社内の保管庫が整理整頓され、いつ誰が廃棄したかを追跡できるようにした。また、倉庫室にどの書類があるかが、「保管庫の台帳」と「納品書(控)」で一目瞭然となった。
O部長は一連の保管から廃棄の手順を明確にすることで、識別用の紙が貼られた段ボールのみを廃棄対象とし、返却別の誤廃棄が起きないようする再発防止策の報告書を作成した。整理された倉庫室の写真も付けて、今回の事故関係先である委託元に提出し、無事了承されることになった。取引停止という最悪の事態が回避されたことでO部長は安堵(あんど)し、そのことをZ氏に報告した。
「情報を取得した時は関心をもって扱われますが、いざ取得したものが廃棄されるころには、すっかり関心も薄れ、たいていの場合はいつ誰が廃棄したかも分からないものです。それでも情報は捨てると決めて、捨てるまでが資産です」とZ氏は話す。
O部長も「“ゆりかごから墓場まで”ではないですが、情報資産を処分する所までしっかり管理していかないといけませんね」と納得した。保管から廃棄へつなげて管理していくことの重要性を、今回の事故を通じて実感したのだった。その後、保管期限の第二段階として、「設定シート」で「廃棄せず」とした書類の保管期限の見直しを始めるとともに、他部門へも今回の取り組みを展開していくことをZ氏と確認している。
おざき・たかあき 株式会社デンカク代表取締役。業界紙記者として多数のIT企業の取材を手がけ、その後、情報セキュリティコンサルタント会社で業種・業態を問わず、大手から中小企業まで幅広い企業で情報セキュリティのコンサルティング業務を担当する。2009年より現職で効率的な企業セキュリティレベルの向上支援を目指して活動中。システム監査技術者・情報セキュリティアドミニストレータ・公認情報セキュリティ監査人。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.