こんにちは。弁護士の浅見隆行です。
大阪市の学童クラブが、新型コロナ対策で購入した検温用カメラを新しいものと交換した後に、ネットのフリーマーケットに出品。購入した人が確認したら、児童やスタッフなど約30人分3000枚の顔写真のデータが残ったままだったことが明らかになりました。
このケースのようにカメラを廃棄する場合のほか、PC、タブレット、スマートフォン、USBメモリなどの記録媒体を廃棄する場合には適切な方法で廃棄することと、媒体に記録されていたデータの消去が不可欠です。
記録媒体の適切な廃棄方法とは
まず法律論でいえば、PC、タブレットなどの記録媒体を廃棄する際には資源有効利用促進法に従わなければなりません。
普通にゴミとして回収してもらうことはできず、廃棄などを専門に行うリユース業者、家電量販店、自治体の回収ボックス、中古買取店などを利用する必要があります。
PC、タブレットなどに記録されているデータ(個人情報に限らず、営業機密、秘密情報などを含むデータ全般)が漏えいすることを避けるなら、データの消去を確実に行う廃棄専門業者や家電量販店、中古買取店を利用するのがよいです。
大阪市の学童クラブのようにフリーマーケットで第三者に売るのは最も避けなければならない方法です。
廃棄専門業者を利用しても個人データが漏えいした神奈川県のケース
残念ながら廃棄専門業者、家電量販店、中古買取店を利用しても、データの漏えいを100%防止できるとは限りません。廃棄専門業者の従業員が不正に持ち出すことがあるからです。
2019年11月、神奈川県が使用していたサーバのハードディスク(HDD)のリース期間が満了するにあたりHDDを初期化して返却し、富士通リースはHDDのデータを復元不能にする作業(廃棄、データ消去)をブロードリンクに委託しました。
ところが、ブロードリンクの従業員(当時)がHDDを不正に持ち出し、ネットオークションにて転売していたのです。
落札者が神奈川県に落札したHDDに神奈川県民の個人情報などのデータが入っていたと連絡したことをきっかけに、事態が判明しました。
当時の神奈川県の公式サイトではトップページに「ハードディスクの盗難について」と大きく掲載し、かつ、専用ページを設け情報を提供していました(下記写真)。
なお、HDDを持ち出したブロードリンクの従業員(当時)は、2020年6月9日、懲役2年、執行猶予5年の有罪判決に処せられています。
このケースを教訓にしたいのは、廃棄専門業者を利用すれば100%安心ということではなく、廃棄の過程がわかる信頼できる専門業者を選ぶ、ということです。
ブロードリンクは公式サイトに当時の経緯に関するリリースや再発防止策などを掲載し続けているほか、現在では、従業員による不正持ち出しを防ぐ方法のほか、データ廃棄の過程などをライブ配信するなど、信頼してもらえる仕組みを公式サイトに掲載しています。
データの消去は取締役・取締役会の情報の保存・管理体制整備義務
会社がPCやタブレットなど記録媒体を廃棄する際にデータが漏えいした場合、その責任は現場担当者だけではなく取締役の責任でもあります。
取締役・取締役会は情報の保存・管理体制を整備する義務を負っているので、その一環として、記録媒体が確実に廃棄されデータが漏えいしない体制を整備する義務も負っているからです。
そのため、PCやタブレットなど記録媒体を廃棄する(リース期間が満了した)際、データを確実に消去することを社内ルールとして定めておく必要があります。
実際には、多くの会社がリース会社からPCやタブレットなどをリースしているでしょう。
そのため、
- リース契約の中にデータの消去や記録媒体の廃棄に関する条項が入っているかを確認する
- データ消去や廃棄に関する仕組みが整っているリース業者を選定する
- 選定の際に業者からデータの消去や廃棄の仕組みについて説明を受ける
などが現実的だろうと思います。
そのうえで、リース期間が満了するときには、専用ソフトを利用して、自主的にデータを消去することまでできればベターです。
総務省からも以下の方法が推奨されているので参考にしてください。
