![CRM 統合顧客管理システム Synergy! [シナジー!] シナジーマーケティング](../img/header_logo.gif){kind=logo}
CRM顧客管理Synergy! >> 企業と個人情報保護法 >> 個人情報の削除
データの削除はリスク管理の視点を持つ
ケース6 G社の削除方法
通信販売のG社はパソコンで顧客データを管理している。個人情報の中には顧客の住所、氏名のほか、購入商品の履歴やクレジットカード番号もあるので管理には細心の注意を払っている。今回新しいパソコンに交換するにあたり、古いパソコンのハードディスクは初期化し、中古パソコンショップに引き取ってもらった。ハードディスクは初期化したはずなのに、データが残っていた、というのは近ごろよく聞く話だ。ディスクの初期化で読めなくなるのは、データのインデックスのみ。実はそのほかのデータはディスク上に残っており、簡単な操作で復元できる。G社の場合、クレジットカード番号など重要なデータが保管されており、このデータが復元され、漏えいすると顧客に金銭被害が出る恐れもあり、深刻な事態を招きかねない。データを削除する場合には無意味なデータで上書きするなど、リスクを回避する手法をとらなければならない。
今回施工された個人情報保護法では本人からの請求に基づき、個人情報を削除しなければならないケースが発生する。これに対応するには削除などの手続きを担当する責任者と、対応手続きを定めておく必要がある。さらに社内の関連データベースに反映する際の手順や顧客の同意に基づいて提供または共用している他の組織、団体に対する削除内容の連絡ルールの決定も必要である。社内のデータベースから顧客の情報を削除しても、情報を提供している他の組織のデータベースから削除されていない場合、トラブルを招く可能性もあるので気を付けなければならない。
また、個人情報の保存期間にも注意が必要だ。データベース化した個人情報を半年以上保有するとそれは保有個人データとなり、個人情報取扱事業者に課せられる義務が異なってくる。できるだけ個人情報を保有しないことが、企業の負担やリスクを軽減する方法なのだ。したがって、一時的にしか利用しない個人情報については一定期間で廃棄するシステムを構築しておくことが賢明だろう。
アンケートなどで個人情報を収集した場合には、個人情報とその他の回答データを別々に記録し、必要がなくなれば個人情報を削除することもリスク管理の観点から有効だ。
