本人から同意を得て取得した個人情報、さて利用目的が終了した場合どうすべきでしょうか。本人から同意を得て取得した個人情報の利用目的が終了したということは、もう使い終わった個人情報ということですので、本人に返却すべきものは返却し、廃棄すべきものは廃棄するということになります。そのまま使わず保有し続けることは保有リスクのみを抱えるだけで何の得策にはなりません。
個人情報保護法は、個人データの保管について利用目的の達成に必要な範囲において、その個人データを正確かつ最新の内容に保つことのみを努力義務として課しております。つまり必要がなくなった個人データの消去までは求めていませんでした。
改正法では、個人データを利用する必要がなくなったときは、その個人データを
遅滞なく消去する規定が新たに追加されています。(法第19条)これは、本人の不安を解消して事業者に対し個人データの適切な取り扱いを促すのが狙いです。
遅滞なく消去する規定が新たに追加されています。(法第19条)これは、本人の不安を解消して事業者に対し個人データの適切な取り扱いを促すのが狙いです。
改正個人情報保護法についてVOL.8(個人情報の消去)
不要となった個人情報は消去するよう努力してください、ということで規定の内容はあくまでも努力義務です。消去しなかったからといって罰則の適用を受けることはありません。消去を必須にすると事業者の営業の自由をある程度制限することとなるということで努力義務となっていますが、これがマイナンバーの場合は取扱いが厳格で、利用目的終了時の消去は義務となっています。(番号法第20条)