最近立て続けに輸送中の事故が多いですが、 何故こういうことが起きるのでしょう？ 紛失する確率って思ってたより結構高そうですよね。 たぶん“個人情報のライフサイクル”で リスク を考えてないため、 保管レベルにばかり目が行き、輸送・破棄・返却までケア行き届いてないのでしょう。

　世間的な社会通念として、届くまでは送り手の責任ということであるかと思います。 委託をするにしろ、自社便で配送するにしろ、 “個人情報のライフサイクル”で考えれば、 特に輸送は、自社施設の境界線から外へ出て行くにすぎないかと思います。 ISMS 的に、 最初に「○○事業部」など意識的に境界線を設けて セキュリティ対策を検討する場合には抜けがちなことかもしれません。

　社内と社外でどちらがリスクが高いかにもよりますが、 社外ですと、守っているのは箱やケースだけかもしれません。 現金輸送みたいにジュラルミンのケースに入れればいいのかというと、 あながちそういうことでもなさそうです。 キラッと光って目立ちますし、 かえって価値のあるものとして狙われるリスクが増えるかもしれません。 距離が長くなれば、自走も難しいでしょうし、 距離に比例して紛失などのリスクも大きくなるかもしれません。

　輸送会社が誤って紛失したとの報道もありますが、 輸送会社に頼む場合でも、「委託」ですので、 何か事故が起きる確率や、起きた場合の対外的な説明が可能かどうかなど、 最低限 JIS Q 15001 の 委託 の項目にある事項を検討し、 トータルで考えるべきでしょう。 そのリスクにも依りますが、 事故が起きた場合のケア も考えておかないといけないかと思います。 受け渡しのエビデンスはもちろんのこと、 PHS や GPS 等の 位置追跡装置 を付けるとか、 トレーサビリティ(追跡可能性) の確保も必要でしょう。

　一般的に、 (事故を起こすような事業者と)知らないで委託するのは「無知」ですし、 知ってて委託するのは「無謀」かと思います。 あとは、保険をかけるとか、 情報主体(本人)に事前に委託先名を通知するなどリスクヘッジ的にケアしてあれば、 “残存リスク”承知で委託もありえるかもしれませんが。 何も物理的に輸送をしないといけないかというとそうでもなくて、 条件さえ揃えば、 専用線や VPN の方が安全かもしれません。 最近では費用も安くなっているようですから、 検討の価値はあるでしょう。