文書管理

個人情報を含む文書の適切な管理を進める方法について

2022年4月に個人情報保護法が改正され、法人に対する罰則が大幅に強化されるなど、個人情報の管理についてより一層気を引き締めて管理していく必要があります。そこで、今回は散在しがちな個人情報を含む文書の管理について文書管理システムを利用した際のメリットや効率的な管理方法を解説します。 2022年4月に改正された個人情報保護法の改正ポイントはこちら(もうひとつのコラムにリンク)の記事を参考にしてください。

個人情報を含む文書が散在しがちな理由

みなさんはビジネスにおいて個人情報をどのように収集・取り扱いしていますでしょうか?
例えば下記の様な様々な形で個人情報を含む文書やデータを入手・管理しているのではないでしょうか。

営業部門:製品・サービスに資料請求をした方をMAツールなどに蓄積
セミナーや展示会などを行った際には紙のアンケート用紙
人事部門:面接応募者の情報を蓄積
システム開発:お客様からデータ移行時に初期移行データとしてお預かり

また、最近では紙で集めた個人情報は電子化してデータを保存することも少なくないかと思います。しかし、電子データはその特性上複製などが容易にできるため個人のパソコンやファイルサーバーに散在しがちです。また、電子データは大量の情報が含まれていることが多く、漏えい時のインパクトも大きくなります。
そのためどのような形式で入手した個人情報であれ、電子ファイルにして取り扱う場合はデータの散在を防ぐことを意識する必要があります。

個人情報を含む文書はどのように管理すべきか

文書管理システムを利用して個人情報を管理する場合でもまずはきちんとシステムに個人情報を集約する必要があります。そのため管理対象の個人情報データおよび個人情報を含む文書データをシステムに保存して管理することを徹底する必要があります。
また、適切な保管環境に集約するだけではなく、たとえば業務終了時には個人情報を個人のパソコンから削除することなども日ごろから意識をつけていく必要があります。

どのような環境で管理するかにかかわらず、まずは個人情報漏えいリスクを顕在させないように上記のような個人情報を取り扱うための基本的な姿勢を責任者・担当者が日々啓蒙していく必要があります。

文書管理システムを利用する6つのメリットとは

 散在しがちな個人情報を含むデータを文書管理システムに集めた際に、どのようなメリットがあるか解説します。

(1)台帳と個人情報データを一元化できる
個人情報を取得した際に個人情報管理台帳で管理することがありますが、エクセルなどの台帳で管理すると実際の個人情報を含むデータとそのデータの管理情報(取得・作成日、作成者、管理部署、取得元など)[いわゆるメタデータ]が別々になってしまいます。文書管理システムを利用することで個人情報データとそのメタデータの一元化が行えるため、管理効率を高めることができます。

(2)アクセス権管理により共有性とセキュリティのバランスをとることができる
ファイルサーバーやエクセル台帳などで管理する場合はその共有性の広さが問題になることがあります。一方、共有性を下げて一部の管理者だけに共有する場合ではきちんと台帳への入力がされなかったり、台帳が社内に散在したりしてしまいます。文書管理システムでは全社で同じ環境を利用しつつ柔軟なアクセス権を設定し、共有とセキュリティのバランスをとることが可能です。

(3)操作ログにより情報漏えい発生時に調査がしやすい
文書管理システム利用の際には自動的に操作ログ(閲覧、ファイルダウンロードなど)が記録されます。紙の情報などを管理する倉庫では入退室管理をしているケースがありますが、どの文書を持ち出したかまではわかりません。しかし、システムで管理すればファイル1件1件に対してログが記録されるため、ピンポイントでどのデータが閲覧されたか、持ち出されたかを知ることができます。そのため、インシデント発生時の調査が容易に行えます。

(4)操作ログにより不正を抑止できる
操作ログの取得は調査をスムーズに行うだけではなく、そもそも不正な閲覧などを抑止する効果があります。過去にIPA(独立行政法人 情報処理推進機構)が作成した「組織内部者の不正行為によるインシデント調査」の中の「内部不正行為防止に効果が期待できる対策(上位 5 つ)」というアンケートで、「社内システムの操作の証拠が残る」がもっとも期待ができる対策として回答されたことからも、操作ログの取得は不正抑止に高い効果があることがわかります。

(5)操作ミスによる削除や上書きを防げる
エクセル台帳やファイルサーバーは操作のし易さから様々な企業で利用されています。一方で簡単に削除や上書きができてしまうことや、誤った操作をしたこと自体が気づきにくいなどの問題があります。文書管理システムであれば削除操作の際に確認が入ったり、一定期間仮削除として保管されたりと誤って削除してしまうリスクを減らすことができます。

(6)文書のライフサイクルを管理しやすい
個人情報はその利用が終わった際には削除することが望ましいといえます。ただし、外部業者に提供した場合や提供を受けた場合などは一定の事項を確認、記録、保管する義務があり、トレーサビリティを考慮して3年間間保持しておく必要があります。つまり破棄すべきデータと保持すべきデータが混在しますので、きちんと管理および定期確認を行う必要があります。文書管理システムを利用することで、確認・破棄日を設定し、期日になったら通知してくれる機能などがあるため、通知を受け取ったタイミングで対応すれば適切に管理することができます。

文書管理システムで個人情報を管理する場合の具体的な使用例

文書管理システムを利用した際の個人情報を含む文書・データの管理メリットを紹介してきました。続いてこのメリットを受けるためには実際にはどのような設定や管理をすればよいかをご説明します。

(1)管理すべき台帳情報や設定
個人情報を管理する上で下記のような管理項目を設定しましょう。削除の予定日の他にも受領や提供が伴う業務を行っている場合は、その記録を文書、電磁的記録またはマイクロフィルムを用いて作成する必要がありますので、管理項目として用意しましょう。

  • データ名
  • 文書またはデータの作成日
  • 作成者/部署
  • 削除予定日
  • 提供:個人データを提供した年月日
  • 提供:提供先の氏名又は名称
  • 提供:当該個人データの項目
  • 受領:提供者の氏名又は名称
  • 受領:提供者の住所、(法人の場合)代表者
  • 受領:当該個人データの取得の経緯
  • その他特記事項

(2)アクセス権の設定範囲
アクセス権は共有性とセキュリティを考えて設定する必要があります。多くの場合は部署単位での作成となりますが、必要に応じてさらに範囲を各業務に絞って閲覧範囲を制限することでセキュリティを上げることができます。
しかし、文書管理システムではデータそのものにアクセス権を設定することができますが、この方法で閲覧範囲を制限することはお勧めできません。それは絞りすぎた閲覧範囲の影響により、部署移動や退職などによりそのデータが関係者から閲覧できなくなってしまうためです。フォルダ単位などのある程度の範囲でアクセス権を設定することで、引継ぎ漏れがなくなり、管理者不在のデータが発生することがなくなります。

(3)操作ログの取得設定
文書管理システムの操作ログには1つ1つの操作すべてを記録することができる場合や、文書をダウンロードしたというような特定の操作のみをログとして取得する場合があります。すべての操作を取得するとログ情報が肥大化して、システムのパフォーマンスに影響しますが、一方で特定の操作の記録だけでは不正の調査ができないという場合もあります。利用するシステムでどのようなログを取得できるか、またどのような設定で収集するログを調整できるかを確認するとよいでしょう。

(4)操作ログの閲覧設定
操作ログは管理者だけが確認できる場合もあれば、利用者も確認できる場合があります。不正抑止のためには利用者全員がいつでもログを確認できる状態にしておくことが望ましいと考えられます。そのためログの確認方法や確認ができるユーザーについては環境選定時にきちんと調べておくとよいでしょう。

(5)操作権限や保存時の承認設定
文書管理システムは誤った削除や違うデータに上書きしてしまうという操作ミス自体が発生しにくい仕組みになっています。しかし、さらに人的ミスを減らすためには、操作できるユーザーを限定することや、操作する際に承認制にするなどの方法があります。例えば一般ユーザーには削除をする操作権限を与えずに、削除する際には管理者や担当者に依頼しないと実施できないようにすることで、誤操作によるデータを削除するリスクを減らせます。また、新規に保存や上書きする場合には、管理者や担当者に保存内容を確認してもらうような承認制にすることで、誤った操作を防ぐだけではなく、誤った情報入力を防ぐことも可能です。

(6)期限管理の設定
文書のライフサイクルを管理するためには期限管理が重要となります。特に利用しなくなった個人情報を含むデータは存在そのものがリスクとなりますので、適切な破棄が必要となります。そのため、きちんと削除予定日を決めて定期的に確認しましょう。文書管理システムではこの削除予定日になったら通知を受け取るというようなことが可能な製品がありますので、作業モレがないように通知設定を必ず実施しましょう。また、製品によっては複数回通知できたり、通知先を変更することができます。例えば削除日超過後に1か月経過したら担当者だけではなく管理者も含めて通知することで確実に作業モレを防ぐ体制が構築できます。

教育と運用とシステムをバランスよく整えてリスクを防ぐ

どんなに教育が行き届いていてもミスを防ぐことはできません。どんなにシステムが良くてもそれだけでは情報漏えいや不正を防げません。どんなに運用を徹底していても本業に影響が出てしまうと長くは続きません。教育、運用、利用するシステムの3つをバランスよく整えて、適切な個人情報管理を行うことが大事ですので、1つだけ改善するのではなく、教育、運用、システムすべてに目を向けて改善しましょう。

個人情報を含む文書の管理なら文書管理システムMyQuick

文書管理システムMyQuickは個人情報保管時に管理者への自動通知や、廃棄確認時期が来たら関係者への自動通知により適切な管理を行うことができます。また、ログの取得及び共有による不正抑止や、権限管理機能により情報セキュリティの強化を行うことができます。個人情報を含む文書の管理環境の強化をMyQuickクラウドで検討してはいかがでしょうか。

月額4万円から利用可能な文書管理管理システムMyQuickクラウドで適切な個人情報を!

⽂書管理にお悩みがある⽅には、
インフォコムの⽂書管理システム、My Quickがおすすめです!

  • ユーザー数無制限
    お得なライセンス体系!

  • 台帳項目を自由に設計、簡単検索!

  • パッケージ版と同等の機能をクラウド版で利用可能

関連記事

  • 文書管理 改正個人情報保護法 (2022年4月施行)対応の5つのポイントと個人情報管理の課題・解決例

    2022年4月に個人情報保護法が改正されました。命令違反や虚偽報告時のペナルティの強化や安全管理措置の開示 ...

お問い合わせ・製品資料ダウンロード

無料お試しデモのお申込み、営業担当による詳細説明のご希望、資料請求のお申込みはこちらから

お電話でのお問い合わせ

03-6866-3590

06-7220-4931

03-6866-3590 06-7220-4931

受付時間   平⽇09:15〜17:30