個人情報の削除について

ある会社のセキュリティに疑問を感じ、今までの取引履歴など法律で定められている保存期間（古いのでもう全部削除も可能か？）を除き、個人情報の全データ削除して貰いたいのですが、こちらから削除して貰うことは法律上不可能でしょうか？

No.3 ベストアンサー 回答者： neKo_deux 回答日時： 2011/07/30 00:11

> 以前、大手銀行に口座解約の際、個人情報の削除について聞いたことがあるのですが、理由は忘れましたが、銀行にとって必要な理由があり、削除できない旨を伝えられました。

この場合は、その「銀行にとって必要な理由」が利用の目的って事になるハズ。

ただし、その場合は個人情報等の提供時に、事前に周知されている必要があるので、具体的な目的の提示、利用時の約款なんかと照らし合わせてみる必要はあるかも。

この回答へのお礼

回答いただきありがとうございます。
とても参考になりました。
ちなみに、金融機関、特にFX会社など、口座を作った時、粗品のプレゼントがあることがあります。そういった所ではたいて、過去に解除した場合、次回申し込んだ場合、登録の記録は保持されるためということで、削除されないところも多いようです。

お礼日時：2011/07/30 19:42

No.2 回答者： neKo_deux 回答日時： 2011/07/27 14:13

> 例えば、バイオメトリックなど、暗証番号と違い、あとで変更することが出来ません。

そのため、その会社で使わなくなった場合、必ず削除して貰う仕組みなどがあっても良いと思っているのですが、一切無いのでしょうかね？

この場合だと、前述したように、口座を閉じる、バイオメトリックを利用するサービスの停止を行うなどした段階で、利用目的に合わなくなるので、第27条に基づいた削除って事になるのでは。

現状ですと、サービスを受ける際の、契約なり規約なりで縛るのが妥当です。

仮にそういう法律があり、契約を結んで、サービスの提供側が一定の技術の裏付けのある手順に基づいて削除したとしても、結果的に消えてなかった、漏えいしちゃったって場合、金銭的な補償で解決するしかないですし。

そういう事から、法律で「確実に削除すること」なんて事を規定してもあんまり意味無いので、「削除すること」としか書きようが無いです。


データでなくて紙の書面だって、目の前で裁断破棄しても、
・コピーがあるかも知れない
・裁断したものをつなぎ合わせるかも知れない
・防犯カメラなんかに内容が映ってるかもしれない
・担当者が記憶に残ってる内容を書き起こすかもしれない
とか。

法律的にも、技術的にも、無い事を証明、確実に削除とかってのは難しい面があります。


> 仮に、削除されたことを確認する方法がなくても、法律があると無いでは、流出発生確率は激減すると思っています。

例えば、銀行のオンラインシステムを含むデジタルデータの削除の手順ですが、こうやれば大丈夫ってコンセンサスのとれた方法は無くて、それぞれの組織で個別の方法が取られています。
アメリカの例ですが、
・米陸軍準拠方式 AR380-19準拠
　データの上に、ランダムな値、FF、00の値を順次書き込む。
・米国防総省 DoD5220.22-M準拠
　データの上に、AA、55、ランダムな値、00の値を順次書き込む。
その他、NSA推奨方式、グートマン推奨方式、空軍も別の方式だったハズ。

そういう事から、「これこれこういう手順で削除すること」なんて法律は余計なお世話ですし、その手順で削除されなかった場合に、法律の作成者は担保してくれませんし。

この回答へのお礼

回答いただきありがとうございます。
>この場合だと、前述したように、口座を閉じる、バイオメトリックを利用するサービスの停止を行うなどした段階で、利用目的に合わなくなるので、第27条に基づいた削除って事になるのでは。

以前、大手銀行に口座解約の際、個人情報の削除について聞いたことがあるのですが、理由は忘れましたが、銀行にとって必要な理由があり、削除できない旨を伝えられました。
また、ぱるる口座の頃（今ではありません）ですが、口座を完全に解約した後、ちょっと理由があって、過去の口座状況を調べて貰った事があるのですが、何回口座を開いて、何回口座を閉じたかなど全て残っていました。口座の作成履歴などは犯罪防止で必要なのかもしれませんが、全てのデータが残っていて驚いた記憶があります。暗証番号などがどの様になっていたかなどについては確認していませんが、これらはこの法律の適用外になるのでしょうかね？
他の事例は分かりませんが、個人情報を取り扱う事業者の判断で法律がいくらでも解釈できるのではないかと思っていますがいかがでしょうかね？

お礼日時：2011/07/29 11:02

No.1 回答者： neKo_deux 回答日時： 2011/07/25 14:05

ちょっと難しいです。

その会社が個人情報取扱業者だったとして、削除する義務を負うのは、個人データの内容が事実でないという理由の場合のみとかって事になってます。

| （訂正等）
| 第26条
| 　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの内容の訂正、追加又は削除（～）を求められた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。


入会手続きを取ってるものなら、利用目的を提示してもらった上で、退会する事によって目的外の利用になるって事から、削除を依頼する事は可能かもしれませんが。
宅配便とかの記録だと、どこからも今後荷物が届かないなんて事はあり得ないですから、ちょっと無理かも。


また、確実に削除された事の確認が不可能である以上、そういう請求しても意味無いような。
結果的に、情報が漏えいした場合に、対応を求めるくらいしかできないです。

この回答へのお礼

回答いただきありがとうございます。
例えば、バイオメトリックなど、暗証番号と違い、あとで変更することが出来ません。そのため、その会社で使わなくなった場合、必ず削除して貰う仕組みなどがあっても良いと思っているのですが、一切無いのでしょうかね？
仮に、削除されたことを確認する方法がなくても、法律があると無いでは、流出発生確率は激減すると思っています。
特に、某上場企業や某国のように完璧なセキュリティ体勢があっても流出している例を見ると、必ず削除して貰える法整備や法的根拠があるのではないかと探しているのですが、無いのでしょうかね？

お礼日時：2011/07/26 00:32