当方は通信販売を行っている会社です。あるお客様より「もう通信販売を利用しないので自分の個人情報を削除して欲しい」との要求を受けました。このお客様に対しては今後DM送付などの営業活動は行わない予定にしておりますが、営業データを分析したり、あとあとトラブルになったときのために、個人情報は保管しておきたいと考えています。当社において削除する義務はあるのでしょうか。
個人情報保護法上、個人情報を目的外で利用していたり(16条)、不正の手段で個人情報を取得していた場合以外には、本人が個人情報取扱事業者に対して個人情報の削除を要求できる権利は認められていません(27条)。また27条は「違反を是正するために必要な限度において」の利用停止や削除が義務づけられているのみです。そのため目的外利用を行っていた場合における「違反の是正」は、通常は利用停止を行えば「必要な限度」における是正を行ったと認められるでしょう。そのため27条により削除が義務づけられるのは、事実上、不正の手段で個人情報を取得した場合のみとなります。 「不正の手段」で取得したとされるのは、詐欺や錯誤に乗じた取得、事理弁識能力の無い者からの取得、第三者提供の同意が無いことを認識した上での取得などです。 結果、これらに該当しない、通常の業務過程において取得した個人情報については、法的には削除義務は発生しないということになります。 当然のことながら、個人情報の保有リスクをCS的観点から任意に削除するのは、法令上の保管年限が定められているのでない限り自由となります。