2017年5月30日に施行された個人情報保護法の改正は記憶に新しいですが、中には未だに改正後の個人情報保護法に適応出来ていない企業も多いです。
改正された個人情報保護法の項目の1つに、企業の個人情報における“削除義務”があります。
今回はこの項目について理解し、企業は少しでも改正された個人情報保護法に適応出来るように努力しましょう。
個人情報保護法における“削除義務”の概要
個人情報保護法における削除義務とは、簡単に言うと“必要でなくなった個人情報を速やかに削除する義務”の事を言います。
改正前の個人情報保護法は、個人情報の取得や利用等のルールが設けられている一方で、必要でなくなった個人情報をどう処理するのかについてのルールは存在しません。
もちろん、なるべく速やかに削除する為のルールはありましたが、“削除義務”という形の定義ではありませんでした。
現行(改正後)の個人情報保護法において削除義務が定義された背景には、クラウドサービスの普及やIT技術の進歩があります。
上記の手法により、企業はコストを掛けずに大量の個人情報を保有出来るようになりました。
このような状況から、顧客は企業がいつまでも個人情報を保有し続けるのではないかと懸念し始めたのです。
例えセキュリティ面を考慮しているとはいえ、使用しない個人情報をいつまでも保有されるのは、顧客にとって喜ばしい事ではありません。
現行の個人情報保護法から定義されるようになった削除義務
現行の個人情報保護法では、個人情報の削除義務について、“努力義務”という言葉で定義されています。
これまでの個人情報保護法でも定義されていた“個人情報の正確性を保つ努力”に、必要なくなった個人情報を遅滞なく削除する“努力義務”が追加されたのです。
“削除する義務”と記載されていないのは、企業にとっての負担を最低限考慮している事が理由です。
また現行の個人情報保護法では、“個人情報保護法が必要なくなった時”についても具体的に定義されています。
該当するケースは以下の2つです。
企業が個人情報の利用目的を果たし、その目的に関係する理由で個人情報を保有する必要がなくなった時
企業が個人情報の利用目的を果たせなかったものの、その事業が中止になり個人情報を保有する必要がなくなった時
簡潔に解説すると、“利用目的以外で無意味に個人情報を保有してはいけない”という事になります。
ちなみに、上記の“利用目的”に該当しないケースでも例外があります。
それは、個人情報の確認作業や記録作業を行う場合です。
確認や記録の為に個人情報を保有する場合は、その目的を達成するまで個人情報の削除における努力義務が発生しません。
まとめ
個人情報削除義務と言っても、正確に言えば“削除する努力をする義務”です。
ただ企業はこの新しい定義を知る事で、より適切な個人情報の管理体制を整える事が出来るでしょう。
’’JAPHIC(ジャフィック)マーク’’等の第三者認証マークの取得を目指す企業は、現行の個人情報保護法によりアジャストしなくてはいけません。
改正前と改正後の内容を今一度比較し、より意識すべきポイント、注意すべきポイントを確認しておきましょう。
