「文書・情報の保存期間基準」の設定と定期見直しの必要性

コラム
セキュリティ

文書・情報の保管期間は、一般に、いったん設定されると、見直しがされないという残念な実態があります。笹子トンネルの天井板崩落事故を期に、全国の道路橋の図面の保存状況を確認したところ、利用中であるにも関わらず、管理上は廃棄対象になっているものが多く存在していました。運用上、明らかに問題です。

道路橋の図面のように不適切な保存期間設定がされたままとならないよう、企業における文書・情報管理において、「文書・情報の保存期間基準」を作成し、情報セキュリティの内部監査に連動して、基準内容を見直すことを提案します。

1.笹子トンネル天井板落下事故を受けて道路橋の図面管理も実態調査

2012年12月に発生した「笹子トンネル天井板崩落事故」を受けて、公益社団法人日本文書情報マネジメント協会(当時の名称は、社団法人日本画像情報マネジメント協会)では、道路橋の管理の実態について調査、改善の政策提案を行っています(トンネルよりむしろ道路橋の方が危険との認識から)。その調査結果(命とくらしを守るインフラ充実のため 自治体管理道路橋図面等のインフラ情報再整備事業の政策提言 2013年9月25日)によると、多くの団体において、文書管理規定上の保存期間が、5年~30年と橋の利用と無関係にあらかじめ保存期限を決めていました。素直に考えると、橋が利用されている間は図面は保存されていて欲しいですが、誠に、残念な結果でした。

この事故を受けて、国土交通省では、老朽化対策の取組みとして、2014年4月「橋梁、トンネルの点検を5年に1回行うことと、その記録を保存する。」を提言し、同年7月には、定期点検に関する省令・告示し対策を打ち出しています。

2.文書、情報の保存期間の基準を見直せ

保存期間の設定が適切でなかったのは、トンネル・橋梁図面だけでしょうか。どこの組織にも、文書管理規程、情報セキュリティ規程があり、保有する文書・情報には保存期間を設定することになっていると思います。保存期間は設定するが、その妥当性まではあまり考えない、前例踏襲のレベルというのが実態ということはないでしょうか。そのような組織では、ぜひ、個々の文書・情報の保管期間を設定しなおす前に、保存期間を設定する基準(保存期間基準)を策定し、これを定期的に見直すことをおすすめします。保存期間基準の見直しは、担当者任せにするのではなく、組織として正式に行う必要があります。

文書・情報の量は非常に多いので、まずは、「人命に関わるもの」「会社の存続の根幹をなすもの」いわゆる「バイタルレコード」を優先するのがよいでしょう。製造業であれば、図面とか、ソフトウェア製品開発会社ならば、製品のソースコードなどです。

3.文書・情報を統合して、定期的に見直そう

一般的な組織では、文書管理規程と情報セキュリティ規程があり、運用されています。情報の中に、文書も含まれるのですから、文書管理と情報セキュリティ管理は連動して進めるべきものです。残念ながら、ほとんどの組織では別々に運用されて2重管理状態となっています。また、情報セキュリティ管理の活動は活発だが、文書管理の活動は形骸化(けいがいか)しているという実態もあります。「文書保存基準」見直しの実施率を高めるため、実施率の高い情報セキュリティ管理の内部監査と連動することと、効率性を上げるために、「文書・情報保存期間の基準」として統合することを提案します。

情報セキュリティマネジメントでは、「情報管理台帳」の作成が推奨されています。表1に例を示します。保存期間の記載欄があるのみです。「情報保存期間基準」については定められていません。行政文書管理ガイドライン(内閣府、平成31年2月26日一部改正)では、「別表第1 行政文書の保存期間の基準」とし、「行政文書ファイル管理簿」を定めています。それぞれの書式を表2、表3に示します。行政文書ファイル管理簿は、一般には「ファイル基準表」と呼ばれているものです。


表1 情報資産台帳 書式 例 
(出典 中小企業の情報セキュリティ対策ガイドライン 第3版、IPA)


表2 行政文書の保存期間の基準 書式 
(出典 行政文書の管理に関するガイドライン、内閣府 平成31年2月26日一部改正)


表3 行政文書ファイル管理簿 書式 
(出典 行政文書の管理に関するガイドライン、内閣府 平成31年2月26日一部改正)


表1「情報資産台帳」、表3「行政文書ファイル管理簿(ファイル基準表)」では、個々の文書・情報にとらわれがちになるので、それらを類別してグループとして、表2「行政文書の保管期間基準」を参考に、文書と情報を同時に判断し「文書・情報保管期間の基準」とすれば効率的となるでしょう。

行政文書、情報セキュリティマネジメントでは毎年定期的な点検があります。官公庁では行政文書の定期点検をおこなっていますが、残念ながら多くの企業では、文書管理の定期見直しを行っていないが実態だと思います。そのような企業では、情報セキュリティマネジメントの内部監査に連動して、「文書・情報の保存期間基準」を点検するようにすれば、もれがなくなる効果があります。

4.文書・情報の保管期間基準作成の提案(書式例の紹介)

文書・情報の保存期間基準の書式の例を表4にて、説明します。なお、情報には文書を含むと考えます。文書の場合は、情報の種別が「文書」であり、媒体の種別は、紙であったり、ファイルサーバーであったりするという考え方です。

表4 文書・情報の保管基準の書式例


  • ①起算日;起算日の考え方を記載します
    ・通常は登録の翌年度の初日です。4月1日。翌期の初日とすることもあります
    ・特定の日を起算日とすることがあります。例えば、製品の保守終了、契約終了などです
  • ②保存期間;文書・情報を保存する期間です
    ・期間の指定のない永年保存よりもできるだけ具体的な期間、10年保存、30年保存等とし、保存期間満了時に再度、延長を判定する方式に移りつつあります
  • ③保存期間満了時の措置;保存期間満了時に行うことを記載します
    ・無条件廃棄
    ・延長判断を実施し、延長ならXX年保存延長。不要なら廃棄
  • ④備考;起算日、保管期間、保存満了日の措置の補足が必要な場合に記載します
  • ⑤保存ポリシー根拠;事業継続上重要なものには、特に、なぜ、そのような保管期限を決めたのかの根拠を記載します。定期点検では、この根拠を確認し、条件変更がないかを確認します

重要度というと、どうしても情報セキュリティ観点に目をうばわれがちになります。個人情報、情報セキュリティ上の重要度からも判断しますが、人命、事業継続上の重要度も別項として判断する必要があります。そこで、「事業継続上の重要度」という記入欄も設けておきます。

登録日から、保存を開始し、「起算日」から計算して、「保存期間」に達すると保存期間が満了します。この際、「保存期間満了時の措置」にしたがいます。道路橋の場合は、起算日を利用終了日に設定します。そうすることで、利用中なのに図面を廃棄するなどという間違いは起きなくなります。

まとめ

  • 文書管理と情報セキュリティ管理で、「文書・情報の保存期間基準」を共通化、統合することで、組織として効率的、統合的な管理が可能となります。
  • 「文書・情報の保存期間基準」を作成することで、保存期間だけでなく、起算日や保存期間満了日の処理も記述するようにできるので、これまでのように個人の力量によらないで、適切な管理が安定して可能になります。
  • 「文書・情報の保存期間基準」の定期的な見直しを情報セキュリティの内部監査に連動することで、実施率が上がることを期待できます。

関連記事