*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています。
法第22条では、「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」と定められています。
以下、個人情報取扱事業者等に係るガイドライン(以下、「ガイドライン」といいます。)3-4-1に沿ってみていきます。
個人情報取扱事業者は、利用目的の達成に必要な範囲内において
・個人情報データベース当への個人情報の入力時の照合・確認の手続の整備 ・誤り等を発見した場合の訂正等の手続の整備 ・記録事項の更新 ・保存期間の設定等 |
を行うことにより、個人データを正確かつ最新の内容に保つよう努めなければなりません。
最新といっても、常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性、最新性を確保すれば足りるとされています。
一旦取得した個人情報についての保存期間については、利用目的が達成され個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなくても目的の前提となる事業自体が中止となった場合等にはデータを遅滞なく消去するように努めなければなりません。
個人データについて利用する必要がなくなったときに該当する事例として、ガイドラインには以下があげられています。
事例) キャンペーンの懸賞品送付のため、当該キャンペーンの応募者の個人データを保有していたところ、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した場合 |
仮に、利用目的を達成したにもかかわらず、その後も当該目的のために取得した個人情報を無目的に保有していた場合には、利用目的制限違反となる可能性もあります(法第18条1項)。
(利用目的による制限) 第18条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。 |
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。