個人情報の取り扱いは、業者ごとのセキュリティポリシーによって異なります。
データ復旧業者に依頼する前に、この記事で、機密情報が適切に処理されるか判断する基準を確認しておきましょう。
目次
個人情報が適切に処理されるかを判断する基準
個人情報が適切に処理されるかを判断する基準は次のとおりです。
基準① 明確で包括的なプライバシーポリシー(個人情報保護方針)を設けている
プライバシーポリシーとは、個人情報を取り扱う企業などが、取得した個人情報を正しい範囲内で安全に取り扱うための方針を定めたものです。
これは通常、企業のウェブサイトにある「個人情報保護方針」ないし「プライバシーポリシー」というページで確認できます。方針そのものは企業によって大きく異なりますが、基本的に次のようなポリシーが設定されていれば、特段、問題はないでしょう。
- 個人情報の利用目的の明確化:個人情報を取得するときは、利用目的を明確にし、必要な限りの個人情報のみを取得する
- 個人情報の利用目的の範囲化:取得した個人情報は、あらかじめ公表した利用目的の範囲内でのみ使用する
- 個人情報の堅牢な管理体制:取得した個人情報を適切に管理し、漏洩・改ざんなどを防止するための体制を構築している
- 個人情報の外部委託時の対応:個人情報を外部に委託する場合は、厳重な管理を実施し、監督を行うなど対策を講じる
- 個人情報の開示:個人情報を保有する本人から請求があった場合はこれを開示する
- 個人情報の削除:不要となった個人情報は、安全かつ迅速に削除する
- 個人情報保護の社内訓練:取得した個人情報について、社内規程を作成し、定期的なトレーニングを実施している
基準② セキュリティの国際規格(ISO)やPマークを保有している
セキュリティの国際規格「ISO 27001」とPマークは、企業のセキュリティ体制を見きわめる上での重要な指標です。
たとえば、ISO 27001を適用している業者は、その企業が情報セキュリティのために世界標準の対策を実施しているということを意味します。この国際規格は、政府機関や電子商取引など、さまざまな環境で使用されており、信頼度を推し量る上で大きな基準となります。
一方、プライバシーマーク(Pマーク)は、日本情報処理推進機構(IPA)が認定する第三者認証制度であり、これを付与された事業者は、個人情報保護のための基本的な体制を構築し、個人情報を厳重に管理しています。また、プライバシー保護を徹底するために、定期的な報告書の作成、情報セキュリティ対策などもあわせて行っています。
基準③ セキュリティゲートや警備員が設置されている
セキュリティゲートや警備員が設置されている業者は、個人情報保護に対する取り組み姿勢が確立しており、個人情報の漏えいリスクを保護するためのシステムが整備されているといえます。
ただ、それでも個人情報の取り扱いについて、何らかの懸念・質問がある場合、依頼前にデータ復旧業者まで相談しておくことが大切です。また、各業者のセキュリティ体制に関しては、上記のポイントを基軸として、あらかじめ確認しておくことをおすすめします。
デジタルデータリカバリー 
アスクデータリカバリー
AOSデータ復旧サービスセンター 
