個人情報関連書類の保管期間について
お世話様です。
個人情報の授受に関して質問があります。
現在、弊社では「個人情報抽出表 兼 管理台帳」の保管期間を1年間としております。
しかし、申請書、報告書、情報複写申請書及び情報授受確認書の保管期間は、3年間にしています。
文書管理手順書によると原則的に3年間とありますが、これを1年間にしても大丈夫でしょうか?
もちろん議事録は、作成しようと思っています。
1年間になると作業的に楽になるかと思いますが、いかがでしょうか?
保管期間を変更することは問題はないが、「法的義務」と「実務上のリスク」を考慮する必要あり。
JIS Q 15001等の規格において、保管期間を一律に「何年間」と定める規定はありません。
したがって、貴社が合理的な理由に基づいて定めた期間であれば、保管期間を変更すること自体に問題はありません。
なお、2年ごとに行われる審査では、2年間分の記録などを申請で提出、審査で確認されるため、2年間分の記録などの保管が必要になります。変更される場合は、1年間ではなく、2年間とすることをお勧めします。
なお、保管期間を決める際は、単なる作業効率だけでなく、以下の「法的義務」と「実務上のリスク」を考慮する必要がありますのでご注意ください。
1. 法定保存文書の確認(法令で定められた期間)
文書によっては法律で最低保存期間が決まっているものがあります。
例えば、以下のようなものが存在します。これらに該当しないかまずご確認ください。
保存期間:対象文書の例
- 2年:社会保険に関する書類(健康保険、厚生年金保険など)
- 3年:個人データを第三者に提供する場合の提供記録、労働者名簿、雇用・退職に関する書類、災害補償に関する書類
- 4年:雇用保険の被保険者に関する書類
- 5年:身元保証書、誓約書、監査報告・会計監査報告、健康診断個人票
- 7年:取引に関する帳簿・書類(領収書、仕訳帳、契約書等)
ご質問の「個人情報抽出表 兼 管理台帳」のように直接的な法的指定がない場合は、以下の観点でリスク評価を行い、期間を決定することをお勧めします。
- 法令・顧客要求の確認
業界特有のガイドラインや、取引先との契約(機密保持契約等)で「退会後〇年保持」などの指定がないか確認。 - リスク評価と重要性
万が一の漏えい発覚時やトラブル発生時に、過去に遡って調査が必要になる期間を想定。 - 運用ルールへの落とし込み
決定した期間を手順書に明記し、確実に廃棄されるフローまで定める。
2. 運用上の留意点
作業負担を軽減するために保管期間を短縮されることは合理的ですが、以下の2点にご留意ください。
- 審査時の記録提示
プライバシーマークの審査時に直近の記録が全く存在しない状態(例:審査の直前にすべて破棄してしまった等)になると、運用の確認ができず不適合となる恐れがあります。常に、審査で確認される記録が提示できる状態を維持できるよう、廃棄タイミングを調整してください。 - 関連文書との整合性
例えば、申請書や報告書の「3年」とあるのを、台帳(インデックス)だけを2年にすると、後から古い申請書の内容を照合したいときに不便が生じる可能性があります。これら一連の記録の重要性が同等であれば、整合性が取れているか再確認してください。
3. まとめ
変更について議事録を作成し、上記の留意点を考慮した上で保管期間を決定されるのであれば、問題ないかと思います。
ちなみに、管理を「2年」とした場合、作成からちょうど2年で捨てるのではなく、「年度末に前年度分をまとめて廃棄する」という運用にすると、常に2~3年弱の記録が残るため、審査対策としても事務作業としても効率的になります。
また、「作業が楽になる」という動機が「紙の保管スペースや廃棄の手間」といったことが原因であれば、スキャンして電子データで保管することも有効です。電子データであれば、3年保管しても場所を取らず、検索性も高まります。
以上、ご検討の一助となれば幸いです。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
