ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

廃棄処分のパソコンについて

12.17.2019

プライバシーマークについて質問です。

廃棄処分のパソコンについてですが、廃棄業者の完全データ消去サービス(例えばディスクを物理的に破壊するなど)の利用の前に、あらかじめ廃棄対象パソコンのデータを消去するなどの処置を事前に行った後、廃棄業者の完全データ消去サービスを受けるべきでしょうか。

過去規程では、自社でデータ消去サービスを行うとしていましたが、担当者退職で形骸化され、実際は消去証明書の受け取りもなく、廃棄業者サービスを申し込んでいました。

理解できる人員など制限もあり、リースや再販ではないので、最低限のデータの事前削除で廃棄業者サービスを活用できればと思いますが、注意はあるでしょうか。

ご質問の「廃棄処分のパソコン」に関してですが、ご指摘のとおり、廃棄処分のパソコンのデータは、あらかじめ消去するなどの処置を行った後、廃棄業者の完全データ消去サービスを受けた方が、よりベストな処置だと思います。

ただ、ご質問にあるように、お客様の事情があるかと思います。また、どの程度の処置を自社で行うかは、個人情報の量や質などによっても変わってくるかと思います。

処置方法としては、あまり専門知識が無くても使用できる削除ソフト(有料、無料)などを使用する方法や、自組織で直接ハードディスクを破壊するための設備を導入するといった方法などもあります。

なお、業者に依頼する場合においても、委託先の監督責任が必要となります。

「必ず廃棄証明書を発行する」といった事前の評価や「再委託や再々委託を行わない」といった契約内容の確認といった業者の選定と同時に、定期的な業者の監督といった業務をより重視する必要はあるかと思います。

この点を、規定に追加し、運用していくことがポイントになるかと思います。