個人情報の廃棄記録がない場合、管理台帳はすべて「無」と記載してもよいですか?
個人情報管理台帳を作成に関してです。
廃棄の記録についてですが、当社の場合、特に廃棄の記録はとっていないかと思います。
この際、すべて無などでよいのでしょうか?
また、変更の必要ある場合は直ちに変更した方がよいのでしょうか?
個人情報管理台帳における「廃棄の記録」の扱いは、PMS(個人情報保護マネジメントシステム)の運用効率を左右する重要な項目です。
結論から申し上げますと、「全ての個人情報に対して廃棄記録が必須」というわけではありません。しかし、「実態として廃棄しているのに、ルール上も記録も一切なし」とするのは、審査上のリスクが高いため推奨されません。
以下の3つのステップで、貴社にとって最適な運用を検討してみてください。
1. 「記録が必要なもの」と「不要なもの」を切り分ける
全ての廃棄を記録するのは現実的ではありません。そこで、個人情報の「重要度」や「媒体」に応じて、自社ルールで選別するのが一般的です。
- 記録を残すべきもの(重要度高):
顧客の契約書、採用選考後の履歴書、マイナンバー関連書類、機密性の高い名簿など。「いつ、誰が、どの方法で(シュレッダーや専門業者の溶解など)確実に廃棄したか」を証明する必要があるものです。 - 記録を省略できるもの(日常的・定型的):
日常的に送受信されるメール、一時的なメモ、携帯電話の着信履歴など。これらは廃棄の都度記録をとる合理性が低いため、社内規程で「〇〇については、日常業務の中で随時削除・廃棄し、個別の記録は省略する」と定めておけば問題ありません。
2. なぜ「廃棄の記録」が求められるのか?(リスクの観点)
廃棄記録がないと、いざ「書類が見当たらない」となった際に「正当な手続きで廃棄されたのか」それとも「紛失・盗難に遭ったのか」が区別できません。
もし紛失の疑いがある場合、Pマークのルールでは事故として報告義務が生じる可能性があります。記録があることで、「これは〇月〇日に処分済みです」と証明でき、貴社を守る「防衛策」となるのです。
3. 「変更」のタイミングについて
「記録をとるべきだったが、今はとっていない」と気づかれた場合、「直ちに変更(見直し)」に着手することをお勧めします。
- 単独で判断できる場合:
記入漏れや単純なルール不備であれば、すぐに修正して運用を開始しましょう。 - 実務への影響が大きい場合:
現場の社員に新たな記録作業を強いることになるため、まずは関係部署と相談し、「どの書類なら無理なく記録がとれるか」を合意した上で変更してください。
運用のヒント:専門業者の活用
大量の書類を廃棄する場合、専門業者から発行される「廃棄証明書(溶解証明書など)」を台帳の代わりとして保管する方法も有効です。これにより、1件ずつの記録の手間を大幅に削減できます。
「形だけの記録」に時間を取られるのではなく、「リスクの高い情報をいかに確実に処分し、それを証明するか」という視点で、貴社に最適な運用を構築していきましょう。
