個人情報が含まれた機密文書の処理方法について

個人情報(機密文書)処理の必要性について

情報漏洩事故がもたらす多大な損害と信用の失墜

機密文書とは「機密保全の必要性が極めて高く、秘密保持を行わなければならない文書」と定義されています。

万が一情報漏洩してしまうと企業や個人においても多大な損害や信用を失墜することにつながります。

個人情報の漏洩はお客様にも被害を及ぼす

また昨今、マイナンバーを含む個人情報に関するニュースも目立つようになっています。

これらは企業のみならず個々に厳重に保管・管理することが必要であり、機密文書の適切な管理及び処分を怠ると、重要な情報漏洩のリスクが発生して社員やユーザーに対して被害が及ぶ可能性があります。

個人情報保護法やマイナンバー法においては、これらの情報に関する文書やデータは「復元できない手段で削除または破棄すること」としています。

これらに対して適切に対処していなかった場合は処罰を課せられるだけではなく、企業や個人に対して多大なる損害が生じてしまい企業継続が困難になってしまうこともあります。

以上のことから機密文書の処理は重要であり必要事項なのです。

個人情報の漏洩による企業損害事例

損害賠償請求だけでなく個人情報保護法違反による罰則も

機密文書漏洩による損害は企業価値を失うだけでなく、損害賠償請求や個人情報保護法違反による罰則があります。

個人情報保護法違反による罰則とは「個人情報の利用目的を提示していない」「個人情報を不正に取得している」等の行動を起こした場合は「一億円以下の罰金」、個人情報保護委員会の改善命令にも従わなかった場合は「1年以下の懲役または100万円以下の罰金」が課せられます。

個人情報保護法について詳しくは「個人情報保護法 改正」をご覧下さい。

一人あたり5,000円の慰謝料の支払い判決

実際に企業が損害を受けた事例としては以下となります。

早稲田大学の個人情報漏えい
1998年、早稲田大学は講演会を開催する際、参加を希望する学生の個人情報（氏名、学籍番号、住所、電話番号等）を参加者名簿として収集した後に講演の開催前に警視庁からの要請に応じ、参加者の許諾を得ずに同名簿を提供しました。

講演開始後、学生らが威力業務妨害罪で逮捕され、早稲田大学は当該学生らに譴責処分を科しましたが、当該学生らが同意のない名簿提供によるプライバシー権の侵害を理由に、処分の無効や謝罪文章の掲示、慰謝料30万円＋弁護士費用30,000円などの支払いを求めて裁判をおこしました。

判決では、大学側の名簿の提供に「警備のため」という正当な理由があったことや、当該学生らが最初から講演の妨害を目的に参加していたことなどが考慮され、1人当たり5,000円と大幅に減額された慰謝料の支払いを判決されております。

一人あたり15,000円の支払い命令となった判決

京都府宇治市の個人情報漏えい
1999年、京都府宇治市が「乳幼児検診システム」の開発を民間業者に委託し、開発のために必要な住民基本台帳データを預けました。ところが、再々委託先となった業者のアルバイト従業員が同データを不正にコピーし、名簿販売業者に対してデータを売却するとその名簿販売業者がデータの転売を進め、合計21万7,617件もの個人情報が流出しました。

この情報漏えいに対しては、住民が精神的苦痛を理由に宇治市に対して裁判を起こし、その結果、住民1人当たり15,000円（慰謝料10,000円、弁護士費用5,000円）の支払いが命じられました。

情報漏洩の原因は管理ミス・紛失と不正な持ち出し

上記は一部の事例ですが主に情報漏洩の原因は大きくわけて２つです。

管理ミス・紛失等による流出と不正な持ち出し・窃取等による流出です。

また日本ネットワークセキュリティ協会が2017年に発生した調べた情報漏洩事例を見てみると個人情報漏洩386件のうちの150件は紙媒体を媒体・経路とするもので、全体の約39%を占めています。インターネットや電子メールを上回って最大の情報漏洩経路となっています。

このことから情報漏洩対策を講じる上では、機密文書の管理および処分において適切な対処が必須事項となります。

詳しくは「機密文書」をご覧ください。

機密文書に該当する書類とは

機密文書に関して主に「社外秘文書」「秘文書」「極秘文書」の3つに分類されます。

・社外秘文書
社外に漏らしてしまうと信用が失墜、法令違反、経済的損失などの不利益を被る可能性がある文書のことを指します。
会議議事録、営業企画書、顧客リスト(顧客情報記載書類)などの文書が該当します。

・秘文書
「社外秘文書」よりも重要度および情報漏洩における損害リスクが高く社内であっても役員やプロジェクトメンバーなど社内でも限られた人物でしか閲覧できない文書のことを指します。
重要契約書、個人情報記載書類、人事関連書類などの文書が該当します。

・極秘文書
3つの文書の中で最も重要かつ厳重に管理が必要な文章で経営に直結する内容などが含まれる文書のため役員でも一部しか閲覧できないような文章のことを指します。
M＆Aや未公開の経営情報、未公開の経理文書などが該当します。

個人情報が含まれた書類の処分方法

社内でのシュレッダー処理は「徹底すること」が重要

一般的な方法としては社内でのシュレッダー処理です。

社内で処理すると社外への漏洩リスクを軽減することができます。

しかし一方で、社員一人一人に管理から処理までを任せることになるので、社内でのガイドラインを設置しなければ企業が個人情報保護法に沿った対応や管理ができていることを示すことはできません。

したがって、まず社内でのリスクマネジメントを図ること、次に管理から処理までの仕組みを徹底することが重要です。

機密文書処理業者に任せて放置のリスクを軽減する

書類の処分方法は冒頭でお伝えしたように社内でのシュレッダー処理の他に、機密文書廃棄の専門業者に委託するという選択肢もあります。

コストは必要ですが、定期的に処理することで溜め込まないリスク、放置されるリスクが軽減されます。

処理業者選びは慎重な検討が必要

ただし、万が一の事故を視野に入れて、情報漏えいの損害を軽減するために、損害賠償の補償がしっかりしている処理業者に委託することが大切です。

処理業者の書類処分方法には「専門工場でのシュレッダー処理」「溶解処理」「出張シュレッダー」3つの処理方法があります。

セキュリティレベルや補償事項も異なるため業者委託をご検討の際には、「業者選定のポイント」をご覧頂いた上でご検討いただくことをお薦めします。

関連記事

「業者選定のポイント」