廃棄する瞬間まで管理の意識を――情報の誤廃棄：セキュリティ対策は事前と事後をつなぐ時代（3/3 ページ）

[尾崎孝章，デンカク]

保管から廃棄への移行手順

　続けて、Z氏は保管期限を決定したものを適切に廃棄していく手順をO部長に提案した。廃棄は個々の書類単位で行うと、どの書類をいつ廃棄したかを忘れてしまう。だが、廃棄記録をその度に残していたのでは運用負荷が高く、すぐに実行されなくなる。そこで、廃棄はG社のようなケースなら身近な段ボールなどの一定量の単位で行い、その代わりに「いつの記録をいつ誰が廃棄したか（廃棄の可視化）」を残しておくことにした。これは次の手順で廃棄していく。

1. 書類は毎年度末（G社は3月）に一年単位で棚卸をし、保管期限に達した書類は廃棄をする
2. 書類は段ボールに入れて、段ボールの外には廃棄予定年月日を明記し、廃棄順序に従って倉庫に保管する
3. 段ボールには西暦ごとに1番から番号を振って行き、段ボールに入っている情報は、番号でひも付けた台帳を用意して管理する
4. 廃棄処分する際は、廃棄日と廃棄者をその台帳につけるようにする

管理する保管庫の台帳の例

段ボールの表面に貼る識別用の紙の例（番号＝廃棄台帳との参照ために用いるための番号、封印者＝最後に段ボールを封じた人、廃棄予定＝廃棄予定の月）

　識別用の紙は、外から何が梱包されているかが分かると重要な書類の認識が保管庫の入室者に分かってしまうため、あえて番号のみの記載にとどめた。

再発防止策

　これにより、G社には定期的な情報の廃棄を通じて社内の書類のスリム化を図るとともに、社内の保管庫が整理整頓され、いつ誰が廃棄したかを追跡できるようにした。また、倉庫室にどの書類があるかが、「保管庫の台帳」と「納品書（控）」で一目瞭然となった。

　O部長は一連の保管から廃棄の手順を明確にすることで、識別用の紙が貼られた段ボールのみを廃棄対象とし、返却別の誤廃棄が起きないようする再発防止策の報告書を作成した。整理された倉庫室の写真も付けて、今回の事故関係先である委託元に提出し、無事了承されることになった。取引停止という最悪の事態が回避されたことでO部長は安堵（あんど）し、そのことをZ氏に報告した。

　「情報を取得した時は関心をもって扱われますが、いざ取得したものが廃棄されるころには、すっかり関心も薄れ、たいていの場合はいつ誰が廃棄したかも分からないものです。それでも情報は捨てると決めて、捨てるまでが資産です」とZ氏は話す。

　O部長も「“ゆりかごから墓場まで”ではないですが、情報資産を処分する所までしっかり管理していかないといけませんね」と納得した。保管から廃棄へつなげて管理していくことの重要性を、今回の事故を通じて実感したのだった。その後、保管期限の第二段階として、「設定シート」で「廃棄せず」とした書類の保管期限の見直しを始めるとともに、他部門へも今回の取り組みを展開していくことをZ氏と確認している。

執筆者プロフィール：

おざき・たかあき　株式会社デンカク代表取締役。業界紙記者として多数のIT企業の取材を手がけ、その後、情報セキュリティコンサルタント会社で業種・業態を問わず、大手から中小企業まで幅広い企業で情報セキュリティのコンサルティング業務を担当する。2009年より現職で効率的な企業セキュリティレベルの向上支援を目指して活動中。システム監査技術者・情報セキュリティアドミニストレータ・公認情報セキュリティ監査人。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら