「個人情報は何年間保存するべきだろう」と疑問に思ったことはないでしょうか。個人情報保護法は改定によって年々厳しくなっており、企業は法律に則って正しく情報を管理する責任があります。
この記事では、個人情報の保存期間や削除する方法、ビッグデータ時代に合わせて変化している法律について解説します。
個人情報の保存期間に決まりはあるのか
実は、個人情報に明確な保存期間はありません。しかし個人情報を取り扱う上で発生する記録については、一部保存期間が決められているものもあります。
記録の保存期間は原則3年
個人情報保護法は年々厳しくなっており、利用目的を明記したり情報収集に同意を必要としたりしています。しかし、企業がデータを保存する期間については明確に定めていません。
唯一保存期間について定めているのは、個人データを第三者に提供した場合の「記録」の保存期間です。この場合、提供内容を記録して、原則「3年」保存しておく決まりとなっています。
出典:個人情報保護法ハンドブック
・「参考サイト」
個人情報を提供する場合、双方が「いつ・どの個人情報を・誰に」提供したか記録する義務があります。さらに提供を受ける側は、相手がどんな経緯でその個人情報を取得したかも記録しておかなくてはいけません。
書類の保存期間はそれぞれで異なる
個人情報自体には保存期間がありませんが、書類によっては法律上保存期間が定まっているものがあります。
たとえば、従業員名簿や出勤簿は労働基準法によって3年の保存が必要ですし、作成した源泉徴収簿や給与所得者の扶養控除申請書は国税通則法上7年保存しなくてはいけません。
また履歴書については、採用か不採用かで保存期間が異なります。採用の場合は労働基準法により履歴書の保存が義務付けられており、退職後3年は保存しておかなくてはいけません。しかし不採用の場合は法律上の定めはなく、「6か月後に廃棄する」「返却する」など企業ごとに取り決めています。
保存期間を過ぎた個人情報は削除すべきなのか?
会社で決めた保存期間を過ぎた場合は、そのまま社内で保管し続けても違法ではありません。しかし法律でも不要な個人情報はすみやかに削除することが記載されているため、削除および破棄するのが望ましいでしょう。
法律では安全管理措置が求められており、組織・人・物理・技術の4つの視点からの安全措置が必要となります。つまり、個人情報を保存しておくこと自体にコストがかかっているのです。
不要な個人情報を保存しておく最大のリスクは「情報漏洩」です。外部攻撃や不適切な持ち出しによって情報が流出すれば、保存期間に関係なく情報漏洩問題となり、信用問題に発展しかねません。不要になった個人情報は削除・廃棄しておくことで漏洩リスクの回避にもつながります。
個人情報を破棄する方法とは
個人情報はデータと紙の2種類あり、それぞれで方法が異なります。
まずパソコンや記憶媒体に保存された情報を破棄する時は、データを完全に消去するツールを使ったり媒体専用のシュレッダーで物理的に壊したりすることで復元できない状態にします。フォーマットしただけでは完全な消去はできないため、安全を期すために廃棄業者に依頼するのもいいでしょう。その場合は機密保持契約を結び、削除が終わったことを証明する消去証明書を受けることをおすすめします。
履歴書など紙媒体の個人情報は、シュレッダーで処理する方法が一般的です。しかい目の粗いシュレッダーだと復元可能な場合もあり、さらに安全性の高い破棄方法として、紙を水などで溶解する方法もあります。溶解は専門の業者に依頼することになるので、データと同様に溶解証明書などを発行してもらいましょう。
DXの実現を強固にするサイロ化されない顧客データ基盤とは?
この記事では、データのサイロ化問題の概要や、もたらされる悪影響について解説します。その上で、その解決策となるシステムについても紹介するので参考にして下さい。
ビッグデータ活用における個人情報取り扱いの変化
個人情報といえば住所や名前、電話番号というイメージが強いですが、それだけではありません。デジタル時代となりあらゆるデータをマーケティングに使うようになった今、個人情報の線引きについてきちんと把握する必要があります。
顔認識データも個人情報である
近年では店舗などにカメラを設置して顧客の顔認証データを取得し、顔の特徴を数値化してマーケティングに活用しているケースも増えてきました。しかし顔データも個人情報であるため、取り扱いには注意が必要です。
個人情報には、名前や生年月日など生存する個人を特定できる情報の他に、声紋やDNAといった「個人識別符号」を含むものの2種類があります。顔認識データは後者の個人識別符号を含むデータであり、マーケティングに使う場合は利用目的を顧客に伝えなくてはいけません。安全管理措置の責任もあるため、顔認識データが漏洩しないよう対策する必要もあります。
2020年に個人情報保護法が一部改訂
個人情報保護法は定期的に見直されており、年々強化しています。企業などが保有している、6か月以内に消去する短期保存データについては、今まで保有個人データの対象外でした。
しかし2020年の改定によって短期保存データも保有個人データとなります。保有個人データとは個人情報を取り扱う事業者が、情報の開示や内容の訂正、利用停止などを行えるもので、取得日から6か月以上保有することになるデータです。
また、オプトアウトの制限も強化されます。オプトアウトは本人の求めによってデータ収集を停止する制度ですが、これまでオプトアウト規定を前提とすることで提出された個人情報は、本人の許可なく第三者提供ができていました。しかし2020年の改定後は、不正な手段で取得されたデータや他の事業者が提供したデータも第三者提供ができなくなります。過去に不正入手によって得た個人情報を売却する事件が起きたことを受け、より強化されたと考えられます。
「仮名加工情報」なら他の目的で利用可能に
2020年の個人情報改定では、規制緩和の一策として新たに「仮名加工情報」が創設されました。名前や住所などを伏せて個人が識別できないように加工したデータであれば、取得した時と異なる目的であっても、本人の許可なく利用できます。
アンケートの目的で収集した個人情報も本人が特定できないようにすれば、そのままマーケティング分析に使うことも可能というわけです。もともと定めていた利用目的以外の範囲を超えられるため、この点は規制緩和となります。ビッグデータ時代に安全にデータを活用できるよう、法律も変化しているのです。
