皆さん、会社で取り扱う個人情報をどのくらい保管・保存しておく必要があるかご存知ですか?
保管・保存期間にも様々な要件があって、それに準じた取扱いが必要になってきます。法律上や契約上、様々取決めはあるかと思いますが、今回は保管期間について触れていきたいと思います。
複雑でやることが多い情報セキュリティ対策をクラウド上で一元管理しませんか?
そもそも保管期間って何?
そもそも個人情報の「保管期間」って何なのでしょうか。
言葉の通りではありますが、会社としてその個人情報を持っておかなければならない期間と考えてください。
「利用が終わっても、その後決めた期間は持っておく」ことによって、何かあったときに確認することが可能ですし、特定の個人情報の保管は法律上の要件にもなっていたりします。
保管期間ってどうやって決めるの?
では、保管期間の定め方ですが、どのように決めればいいのでしょうか。
まず確認しなければならないのが、法律です。個人情報にまつわる法律は様々あり、その法律の中で具体的に保管しておかなければ期間が書かれています。
例えば、法人税法施行規則では源泉徴収票など税務に関わる個人情報の保管期間が定められており、「7年」と明記されています。つまり、作成後7年はちゃんと保管しておく義務があるわけです。
逆に言うと、この保管期間より短い期間で廃棄しているような事態になってしまうと、法律違反になってしまう可能性も否定はできません。法律上定義がなされていないものについては、契約上・業務上の観点で判断していくことになります。
保管期間を過ぎた後は?
逆に、何年か過ぎれば廃棄しなければならない個人情報はあるのでしょうか。
実は、個人情報は持っておかなければならない期間は定められていますが、逆に「●年以上持っていてはダメ」というような決まりは基本的にはありません。
ただ、情報を持っているとそれだけで漏えい等のリスクが存在することになりますし、改正個人情報保護法の22条では「利用する必要がなくなったときは、遅滞なく消去するよう努めましょう」と言うような内容が記載されています。
紙の個人情報であれば、持てば持つ分だけ量も増えるので、法律上の要件含め、持つ必要がなくなったものについては出来るだけ廃棄をすることがベストだと感じます。
複雑でやることが多い情報セキュリティ対策をクラウド上で一元管理しませんか?