英国のデータ保護規制当局は、「体系的」な失敗が重なり、数千件の個人記録が破棄されたことを受け、慈善団体に対して罰金を科すという異例の措置を取りました。
Birthlinkは、養子縁組後の支援や助言を提供しており、1984年からスコットランドの養子縁組連絡登録簿を所有・管理しています。
しかし、2023年8月、同団体の理事会は、施設内の書類キャビネットのスペースを確保するために4,800件の個人記録を整理した際、取り返しのつかない資料の一部も破棄してしまった可能性があることに気付きました。
情報コミッショナー事務局(ICO)は、これらのファイルの最大10%が取り返しのつかないものであった可能性があると主張しています。
慈善団体のデータ保護違反についてさらに読む:データ漏洩で罰金を科されたYMCA、HIV感染者のプライバシーに関するICOの懸念。
「この事例は、他の多くのケース以上に、データ保護が人々に関わる問題であり、データ漏洩が発生した後も長期にわたり人々の生活に広範な影響を及ぼし続けることを浮き彫りにしています」と、ICOの調査責任者サリー・アン・プール氏は述べました。
「破棄された記録は、未知の記憶、アイデンティティ、帰属意識、答えなど、その人の歴史を形作る非常に個人的なパズルのピースとなり得るものであり、その一部は永遠に失われてしまいました。」
問題は2021年に始まりました。同団体が「リンク記録」(すでに探していた人とつながったケースのファイル)を破棄しようとした際です。これには、実親からの手書きの手紙や写真、出生証明書の写しなどが含まれる場合があります。
理事会は、再取得可能な記録のみを破棄することを決定していましたが、同団体の記録管理、データ保護法の遵守、職員の研修や認識が非常に不十分だったため、実際にはこの範囲を大きく超えて破棄が行われてしまいました。
「Birthlinkがその業務の性質上、データ保護の責任や記録管理プロセスについてこれほど理解が乏しかったとは、到底考えられません」とプール氏は続けました。
「慈善団体が重要な活動を行っていることは認めますが、法律の上に立つことはできません。今回、適切な罰金を科し公表することで、法令遵守の促進、すべての組織にデータ保護の重要性を再認識させ、同様の過ちを防ぐことを目指しています。」
Birthlinkの改善策
ICOは、慈善団体からの意見を考慮し、当初の罰金額45,000ポンドから減額しました。その後、Birthlinkが講じた前向きな措置として、以下の点を挙げています:
- すべての紙記録をデジタルで記録・保存
- データ保護責任者を任命し、法令遵守の監督と内部啓発を実施
- 職員向けの研修プログラムを開始
翻訳元: https://www.infosecurity-magazine.com/news/charity-fined-destroying-records/