JIS Q 27002:2006の「A.8 人的資源のセキュリティ」の「A.8.1 雇用前」において、「従業員,契約相手及び情報処理施設の第三者の利用者は,セキュリティの役割及び責任についての契約書に署名することが望ましい」とされている*1。
ここで、本人の署名は個人データに含まれる*2。一方で、個人情報保護委員会では個人データは「利用する必要がなくなったときに当該個人データを適切に消去する」ことが重要としている*3。
そのため、以下のタイミングで削除しなければならないのでは?という疑問が生じる。
- 請負開発のプロジェクト参画時に作成した署名は、プロジェクト終了時には「利用する必要がなくなった」ものとして削除するのでは?
- 請負開発のプロジェクト参画時に作成した署名に対し、署名した本人がプロジェクト終了をもって削除するよう依頼したら、削除されてしまうのでは?
もちろん、削除してしまうと後でセキュリティ上の問題が発生したときに責任を問えなくなるおそれがあるので、ここで削除されてしまうのはまずい。
調べてみたら、ISMS-ACでも個人情報保護委員会でもJIPDECでもなく、国民生活センターにかなり近い回答があった*4。
利用する必要がなくなった個人データについては、事業者は遅滞なく消去するよう努めなければならないと定められています。ただし、利用者がサイトを退会するときが、事業者が個人データを利用する必要がなくなったときと判断できるかについてはケース・バイ・ケースです。例えば、退会後も個人情報を5年間保管すると事業者が定めている場合には、5年を経過するまでは個人データの削除には応じてもらえない可能性があります。
つまり「ISMSに従って個人の氏名を永年保存する必要がある」と事業者側が判断した場合、その個人データはどうやっても削除されずにずーっと残るということですね。
*1:"法規適合性に関するISMSユーザーズガイド -JIS Q 27001:2006(ISO/IEC 27001:2005)対応-", 財団法人 日本情報処理開発協会, 平成21年4月, 2021/07/23参照, https://www.jipdec.or.jp/archives/publications/JIP-ISMS115-20
*2:https://satob.hatenablog.com/entry/2021/07/23/195939
*3:https://www.ppc.go.jp/news/careful_information/data_syokyo/
*4:http://www.kokusen.go.jp/t_box/data/t_box-faq_qa2018_28.html