個人情報を安全に保管するには？個人情報の保存期間や利用ルール

ビジネスにおいても、企業運営においても個人情報を取り扱う機会は増えてきています。

しかし、個人情報は安全に保管しなければトラブルに発展してしまいますし、取り扱い方もルールを守らなければなりません。

重要な情報である個人情報の保管や利用ルールについて確認していきましょう。

個人情報保管の基礎知識

個人情報には、どのような情報が含まれるのでしょうか。

まずは個人情報の定義と個人情報の保管、個人情報保護法について解説します。

マイナンバーや顔写真も個人情報に含まれる

個人情報保護法では、個人情報は「生存する個人に関する情報であって、特定の個人を識別できるもの」と定義されています。

住所や氏名だけでなく、マイナンバーや顔写真、保険証の記号番号など、企業が取り扱うことの多い情報も含まれます。

個人情報保護法に則った保管が大切

2017年の改正個人情報保護法から法律の適用範囲が拡大され、対象が個人情報を利用するすべての事業者に広がりました。

そのため、個人情報を取得する際は必ず利用目的を特定し、本人の同意を得る義務があります。

また、個人情報を利用する際は、あらかじめ本人に知らせるか、利用目的を公表する義務があります。

個人データの安全管理措置とは

企業が取り扱う個人情報は、必ずしも紙媒体であるとは限りません。

同法ではパソコンなどで検索可能な形になっている個人情報を「個人データ」と定めており、個人情報そのものと同様に管理が必要になります。

具体的には、個人データを取り扱うための体制や整備などを行う「組織的安全管理措置」、従業者の教育を行う「人的安全管理措置」、電子媒体などの盗難や持ち運びによる漏えいを防止する「物理的安全管理措置」、不正アクセスを防止する「技術的安全管理措置」があります。

特に「技術的安全管理措置」と「物理的安全管理措置」に関しては、個人データを取り扱うファイルの共有や保管にあたり、セキュリティレベルの高いサービスやツールを選ぶことが重要です。

個人情報や企業活動のデータの保存期間は異なる

企業は取り扱う情報の種類に応じて、一定期間情報を保存しておく必要があります。

個人情報や企業活動に関する情報など、保存期間が定められているものの例を紹介します。

個人情報を提供した場合原則3年

個人データを第三者に提供した場合、原則的にその日から3年間は、提供した年月日、第三者の氏名などの記録を保管する義務があります。

一括して記録を作成した場合も3年間の保管義務があります（個人情報保護法　25条2項、施行規則14条3号）。

書面の記載によっては1年

個人データを提供した年月日や氏名、その他本人を特定できる情報が契約書などの書面に記載されている場合は、データを第三者に提供したときから1年間保管の義務があります（個人情報保護法　25条2項、施行規則14条1号）。

事業報告は5年

株式会社は、毎年（会計年度）発表する事業報告や会計監査報告などを、5年間本店に保存する必要があります。

支店に保管すべきものや、紙ではなくデータの場合などについても、同様に会社法で定められています（会社法　442条1項、同2項）。

取引に関する帳簿は7年

取引に関する帳簿や会社の請求書・見積書・納品書といったデータは7年間の保存が必要です（法人税法施行規則　第59条）。

ただし「欠損金の生ずる事業年度においては、帳簿書類の保存期間が10年に延長（平成27年度・28年度税制改正）」などの例外もありますので、常に最新の情報を確認するようにしましょう。

プライバシーマークの有効期間は2年

プライバシーマークとは、事業者が個人情報の保護や運用の状況が適切であることを認められた場合に、その証明として表示可能なマークです。

プライバシーマークの有効期間は2年間で、以降は2年ごとに更新を行うことができます。付与されている事業者数は16,485社です（2020年9月時点）。

個人情報を利用するときのルール

個人情報の利用については、個人情報保護法でさまざまなルールが設けられています。

まずは個人情報を利用する目的を明確にし、法律に従って適切な取り扱いを行いましょう。

個人情報の利用目的を明確にする

個人情報を取り扱う際、事業者は利用目的をできる限り具体的に特定しなければなりません（個人情報保護法第15条第1項）。

また、利用目的はあらかじめ公表するか、個人情報を取得する際に本人に通知する必要があります。

従業員の退職後は適切な処分を

取得した個人情報は、利用する必要がなくなったときに処分する義務があります（個人情報保護法第19条）。

例えば、従業員（パートやアルバイト、派遣社員なども含む）が退職した場合は履歴書などの個人情報をすべて処分しましょう。

個人情報を第三者に提供するときは？

顧客や従業員の情報を社内だけでなく外部に提供する場合、社内での保管とは違った注意点があります。

第三者に提供するときは本人の同意が必要

事業者が個人情報を第三者に提供する場合は、原則としてあらかじめ本人の同意を得る義務があります（個人情報保護法第23条第1項）。

トラブルにならないよう、文書で明示しておくのが望ましいでしょう。

なお、裁判所からの照会など法令に基づくケースや、災害時の自治体への情報提供など人命保護のために必要なケースなどは、例外的に本人の同意が不要になっています。

委託先へ提供するときは監督が必要

事業者が個人データの取り扱いを委託する場合は、個人データの安全管理が図られるよう、委託者に対して必要かつ適切な監督を行う義務があります（個人情報保護法第22条）。

委託先のプライバシーポリシーを確認する、情報の取り扱いに関して取り決めを行うなど、管理を丸投げしないよう注意しましょう。

正しい知識で安全な個人情報・情報管理をしよう

個人情報は、企業規模の大小を問わず厳しく管理を行う必要があります。

個人情報の管理は常に最新のルールを把握し、安全な取り扱いを心がけましょう。

また、個人情報でなくても企業で取り扱う情報やデータは重要なものが含まれるので安全な保存先を用意する必要性やバックアップを取っておく必要があります。

多くの中小企業にオンラインストレージ「セキュアSAMBA」は、セキュリティが強固な国産オンラインストレージとして利用されています。

無料から使えるセキュアSAMBAを利用して、企業内の情報管理やバックアップ先として活用してみてはいかがでしょうか。