事業者が保有している個人情報の抹消を義務付けられているのは、データ内容が事実でないことを理由に削除を求められた場合(法26条1項)と、個人情報を不正な手段により取得したことを理由に消去を求められた場合(法27条1項)です。しかし、法は、データの抹消の方法や程度については何も規定していません。したがって、事業者側の判断で抹消の方法を考える必要があります。
抹消したはずのデータが廃棄業者から漏えいしてしまったというニュースがたびたび聞かれます。個人情報保護法は、漏えい、滅失またはき損の防止などの安全管理措置を事業者に義務付けています(法20条)が、もし不十分なデータの抹消によって、廃棄業者から情報が漏えいした場合などは、民法上の不法行為責任が問われ損害賠償を請求されることが考えられます。
それでは抹消の方法として、どのような方法が要求されるでしょうか。HDDや各種メディアなどに記録された情報の抹消は、物理的に破壊するのがもっとも確実だと指摘されています。しかし、保守契約上の問題や再利用の必要などから常に必ず物理的な破壊ができるとは限りません。一部の情報だけを消去する場合も物理的な破壊は困難です。単にデスクトップ上で消す方法や抹消ソフトなどを利用してデータを抹消するなどの方法を併用する必要があるでしょう。
個人情報にも、単純な氏名や住所のデータから、本人が他人に知られたくない容姿や評価に関する情報などさまざまな種類のものがあります。情報の量や取り扱われ方などもさまざまです。このような要素を勘案しながら、漏えいした場合の企業のリスクの大きさと、対策に要する負担を考慮して、ケースごとにどのような方法で抹消する必要があるか、自主的に判断することが企業に期待されているのです。
古本晴英プロフィール
Copyright © ITmedia, Inc. All Rights Reserved.