今回は、個人情報の取扱いに際して、個人情報取扱事業者が個人情報を削除する義務に関し、「利用目的達成後の個人情報の削除」という点に焦点をあてて、日本とロシアの制度の違いを紹介したいと思います。
日本の状況
日本においては、個人情報の保護に関する法律(平成15年法律第57号)第19条によると「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するように努めなければならない。」と規定されています。
そのうえで、個人情報の保護に関する法律についてのガイドラインの通則編においては、「個人情報取扱事業者は、保有する個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等は、当該個人データを遅滞なく消去するように努めなければならない。なお、法令の定めにより保存期間等が定められている場合には、この限りではない。」と示されています。
つまり、日本においては、目的達成後の個人情報の削除はあくまで努力義務にとどまるということがいえます。
ロシアの状況
これに対し、ロシアの個人情報保護法(Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»)21条4項の規定によると、個人情報の利用の目的を達成した場合には、かかる目的を達成した日から30日以内(初日算入)個人情報の利用を停止し、かかる個人情報を削除することが義務付けられています。つまり、日本とは異なり、ロシアにおいては、目的達成後の個人情報の削除は義務付けられているのです。
もちろん、この規定には、別途契約で短い日数が定められている場合にはその日数に従うという例外が規定されているとともに、目的を達成することが本人の適法な同意を新たに取得しない限りできない場合にも、個人情報を削除することが同様に義務付けられています。
なお、30日以内に削除がどうしてもできない場合には、ロシアの個人情報保護法21条6項の規定により、個人情報の利用の停止のみをこの30日以内に行い、目的達成から6か月以内に個人情報の削除をすることも法は許容しています。
参考
!http://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/