はじめに
個人情報保護法において、個人情報取扱事業者は、利用目的の達成に必要な範囲内で個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは遅滞なく消去するよう努めなければならないとされています(法22条)。この規定は、不要となった個人データを漫然と保有し続けることによる漏えいリスクや、正確性・最新性の確保義務との整合性を図るために設けられています。利用目的が達成された場合や、事業自体が中止となった場合など、合理的な理由がなくなった時点で速やかに消去することが求められます。
保存期間設定の実務とガイドライン
個人情報保護法自体は、個人データの保存期間を一律に定めているわけではありませんが、各分野のガイドラインや業界ごとの実務においては、保存期間の設定が推奨されています。たとえば、金融分野や信用分野では、利用目的に応じて保存期間を定め、期間経過後は速やかに消去することが努力義務とされています。また、債権管理回収業分野では、法定帳簿に記載された個人データや、債権の買取査定のために取得したが譲り受けなかった個人データについても、保存期間満了後は返還または消去することが求められています。
保存期間の具体的な運用例
保存期間の設定や消去のタイミングについては、利用目的の達成状況や業務の性質に応じて判断されます。たとえば、ダイレクトメール送付のために保有していた情報は、本人からの求めで送付を停止した場合や、キャンペーン応募者の情報は懸賞品発送後に不着対応等の合理的な期間が経過した場合、不採用となった応募者情報は再応募対応等の合理的な期間が経過した場合など、利用目的が終了した時点で消去することが適切とされています。
法令による保存期間の特例
一方で、労働基準法や税法など、他の法令によって保存期間が定められている個人データについては、その法定保存期間が優先されます。たとえば、給与所得者の扶養控除等申告書は、所得税法施行規則により7年間の保存が義務付けられています。マイナンバー(特定個人情報)についても、番号法や関連法令で保存期間が定められている場合は、その期間を経過した後に速やかに廃棄または削除する必要があります。
記録義務と保存期間
個人データの第三者提供に関する記録や、個人関連情報の第三者提供に関する記録については、記録の作成方法に応じて提供から1年または3年の保存期間が個人情報保護委員会規則で定められています。たとえば、契約書等の代替手段による記録は1年、一括して記録を作成する方法やその他の場合は3年の保存が必要です。
まとめ
個人データの保存期間については、個人情報保護法上は特に定めがなく、利用する必要がなくなったときは遅滞なく消去するよう努めなければならないとされているに留まります。この他、分野別のガイドライン等で努力義務が課されている場合などもあります。
他方で、法令により保存が義務づけられている場合があり、個人情報保護法上も第三者提供の記録について1~3年の保存義務が課されています。
このような点に留意し、個人データの保存年限について社内で適切なルール策定をし、運用をすることが重要です。
弊所では、個人データ関連のご相談を多数お受けしていますので、お気軽にお問い合わせください。
