国別データ保持法(2026年):GDPR、CJEU判例、世界の規則
世界中の組織は、一見単純に見える問いに直面している。個人データはどのくらいの期間保持できるのか。答えは、2つの全く異なる法的概念のいずれが適用されるかによって異なる。GDPRの保存制限原則は、必要以上に長くデータを保持してはならないと定める。義務的な通信データ保持法は、一定のメタデータを一定期間保持しなければならないと定める。いずれも非遵守に対しては重大な制裁が科され得る。
法域の範囲: 本記事は、GDPR/英国GDPRの保存制限原則、義務的な通信データ保持に関するCJEU判例、そして米国、英国、EU、ブラジル、中国、インド、韓国、オーストラリア、カナダ、日本、シンガポール、南アフリカ、メキシコの国内保持制度を対象とする。情報は2026年5月時点で確認済みである。ご自身の状況に特有の助言については、貴法域の資格を有する弁護士に相談されたい。
「データ保持」の2つの意味
「データ保持法」というフレーズは、正反対の方向を指す2つの法的に異なる概念に対して用いられており、この2つを混同するとコンプライアンス上の誤りが生じる。
保存制限原則(プライバシー法モデル)は、組織が収集目的に必要な期間を超えて個人データを保持してはならないと定める。GDPR第5条(1)(e)はこの原則を定める規範的な条文である。南アフリカのPOPIA、ブラジルのLGPD、インドのDPDPA、カナダのPIPEDAはいずれもこれを反映している。このモデルの下では、保持は継続的な法的リスクである。データを長く保持するほど、露出は大きくなる。義務は管理者から規制当局へと及ぶ。
義務的な通信データ保持法(監視法モデル)は、インターネットサービスプロバイダーおよび通信事業者に対し、法執行機関が事後的にアクセスできるよう、加入者情報およびトラフィックメタデータを一定期間保持することを義務付ける。現在は無効とされたEUのデータ保持指令(2006/24/EC)がこの規範的な例である。オーストラリアの電気通信(傍受およびアクセス)法、英国の捜査権限法、韓国の電気通信事業法は、いずれも義務的な最低保持期間を定めている。このモデルの下では、法定期間が満了する前の削除が違反となる。義務は通信事業者から政府へと及ぶ。
同一のデータが同時に両方の制度の対象となることもある。政府による12か月の義務的保持法の対象となる通信会社は、同じ顧客データについてGDPRの保存制限にも服する。すなわち、12か月未満で削除することはできない(政府の義務)が、12か月を超えて保持し続けることについてもGDPR(保存制限原則)の下で正当化しなければならない。この2つの制約が組み合わさって、適法な保持期間の枠が定まる。
GDPRの下での保存制限原則
GDPR第5条(1)(e)は、個人データを「当該個人データが処理される目的のために必要な期間を超えて、データ主体を識別できる形式で保持してはならない」と定めている。GDPRはほとんどのデータカテゴリーについて具体的な保持期間を定めていない。組織は自ら保持期間を決定し文書化しなければならない。
組織は、処理活動記録(第30条)に保持期間を記録し、プライバシー通知においてデータ主体に伝達しなければならない(第13条(2)(a))。より長い保持は、適切な保護措置を伴う場合に限り、公共の利益のためのアーカイブ、科学的・歴史的研究、または統計目的のために許容される(第89条)。
EDPBの消去権に関する2025年協調執行アクション(2026年2月公表)は、広範な非遵守を発見した。一部の管理者はすべての処理業務に適用可能な最長の保持期間を一律に適用しており、他の管理者はデータを無期限に保持していた。EDPBは、各国のDPAが保持期間の決定に関するより実践的なガイダンスを策定するよう勧告した。
EUの分野別保持期間
GDPRは固定の期限を避けているが、加盟国法および分野別規制は特定の期間を課している。
マネーロンダリング対策。 EUのAML指令は、事業関係終了後5年間、顧客デューデリジェンス記録および取引データの保持を要求しており、加盟国は10年まで延長することができる。
雇用記録。 ほとんどのEU加盟国は、雇用関係終了後6年から10年間、給与および税務記録の保持を雇用主に義務付けている。ドイツは税務関連文書について10年を要求し、フランスは給与記録について5年を要求する。
**医療記録。保持期間は患者の健康データについて大きく異なる。英国NHSは、成人の健康記録について最終治療後8年間(精神保健記録は25年間)の保持を推奨しており、フランスは最終診療から20年を要求する。
通信メタデータ。 EUの元データ保持指令(2006/24/EC)は、通信事業者に対し6か月から24か月間の通信メタデータの保存を要求していた。CJEUは2014年、Digital Rights Ireland事件でこの指令を無効とした。ほとんどのEU加盟国は国内の保持要件を維持したが、それらもまたCJEUの精査を受けてきた。18のヨーロッパ諸国を対象とした2025年の調査によれば、通信データ保持規則が施行されていないのはドイツ、オランダ、ルーマニアのみであり、他のほとんどの国はCJEU判例にもかかわらず一般的な保持義務を維持しており、ベルギー、デンマーク、英国のみが的を絞った保持のみを課していた。
CJEUの通信データ保持に関する判例
欧州連合司法裁判所(CJEU)は、加盟国が通信事業者に義務付けることができる保持内容を段階的に狭めてきた一連の判例法を発展させてきた。この軌跡を理解することは、EU加盟国全域で事業を行うあらゆる組織にとって不可欠である。
Digital Rights Ireland事件(2014年)
Digital Rights Ireland事件(併合事件C-293/12号およびC-594/12号、2014年4月8日)において、CJEU大法廷はEUデータ保持指令(2006/24/EC)を全面的に無効とした。同指令は、すべての通信メタデータについて6か月から24か月間の一律の保持を要求していた。裁判所は、重大犯罪との闘いという目的に基づく区別、制限、または例外を一切設けず、すべての利用者のすべてのデータについて一般的かつ無差別な保持を要求することは、EU基本権憲章第7条および第8条が保障するプライバシーおよびデータ保護の権利を不均衡に侵害すると判断した。
Tele2 Sverige and Watson事件(2016年)
同指令が消滅した後、複数の加盟国は国内の保持法を維持または再制定した。Tele2 Sverige and Watson事件(併合事件C-203/15号およびC-698/15号、2016年12月21日)において、大法廷は、すべての加入者のすべてのトラフィックおよび位置データについて一般的かつ無差別な保持を定める国内法制はEU法と両立しないと判示した。適法な的を絞った保持は、(a)特定のデータカテゴリー、通信手段、対象者、保持期間に限定されること、(b)厳密に必要な範囲に限定されること、(c)重大犯罪との闘いのためにのみアクセス可能であること、(d)裁判所または独立の行政機関による事前審査に服することが必要である。裁判所はまた、保持データがEU域内に保存され、保持期間終了時に不可逆的に破棄されることを要求した。
La Quadrature du Net I事件(2020年)
La Quadrature du Net I事件(併合事件C-511/18号、C-512/18号、C-520/18号、C-623/17号、2020年10月6日)において、大法廷は一般的保持の禁止を再確認しつつ、3つの許容される例外を認めた。(1)国家安全保障への重大な脅威が予見される期間中、裁判所または独立機関による審査を条件とする、すべてのメタデータの予防的な一般的保持、(2)重大犯罪との闘いのための、地理的基準または特定集団の特性に基づく的を絞った保持、(3)進行中の捜査のための保持データの迅速な保存(クイックフリーズ)である。
SpaceNet and Telekom Deutschland事件(2022年)
SpaceNet and Telekom Deutschland事件(併合事件C-793/19号およびC-794/19号、2022年9月20日)において、大法廷は、重大犯罪との闘いという目的であっても、通信トラフィックおよび位置データの一般的かつ無差別な保持を要求するドイツの法制はEU法と両立しないことを再確認した。この判決は、クイックフリーズおよび的を絞った保持は引き続き利用可能であるが、犯罪防止という目的にかかわらず一般的保持は許容されないことを強調した。
La Quadrature du Net II事件(2024年)
最も新しい展開は、フランスのHADOPI著作権侵害対策制度を扱ったLa Quadrature du Net II事件(事件C-470/21号、2024年4月30日)である。CJEU全体法廷(大法廷ではない)は、IPアドレスは指令2002/58の下でのトラフィックデータに該当するが、その他のトラフィックおよび位置データとは異なり、適切な保護措置が講じられている場合、その一般的かつ無差別な保持は基本権への重大な侵害を構成しないと判示した。
裁判所は、オンライン著作権侵害(軽微な違反を含む)に対処するための法執行アクセスのために、IPアドレスおよびそれと市民の身元データとの関連付けの保持を認めた。求められる保護措置は、(a)IPアドレスデータが安全な技術システムを通じて他の保持データとは別に保存されること、(b)アクセスが訴追付託のみに制限され、クリックストリーム追跡やプロファイリングを防止すること、(c)プロファイリングのリスクがある場合には裁判所または独立機関による事前審査が要求されること、(d)システムの完全性について定期的な独立監督が維持されることである。
現時点での意味
2026年時点のCJEU判例は、加盟国が次のことを行うことを認めている。技術的保護措置を伴うIPアドレスの一般的保持、重大犯罪のための地理または容疑者カテゴリーに基づく的を絞った保持、クイックフリーズ命令の利用、そして予見される国家安全保障上の重大な脅威の期間中の一般的保持である。通常犯罪との闘いを目的としたすべての利用者のすべてのメタデータの一般的かつ無差別な保持は、依然として違法である。欧州委員会は、EUレベルでの新たな義務的メタデータ保持枠組みについて協議中であり(2025年5月にエビデンス募集を開始、2026年初頭に法案が予定されている)、これはこれらの制約を踏まえたものとなる必要がある。
国別の保持制度
米国
米国には、GDPRに相当する単一の包括的な連邦データ保持法は存在しない。保持要件は、分野別の連邦制定法および州法から生じる。
連邦要件:
- IRS(税務記録): 事業者は、申告日から最低3年間税務記録を保持しなければならず、所得の過少申告が著しい場合は6年から7年に延長される(26 USC 6501)。
- HIPAA(医療記録): 対象事業体は、作成または最終有効日から6年間、方針および手続に関する文書を保持しなければならない(45 CFR 164.530(j))。基礎となる医療記録については、州法がより長い期間を課すことが多い。
- FLSA(雇用記録): 公正労働基準法は、雇用主に給与記録を3年間、賃金計算記録を2年間保持することを義務付けている(29 CFR 516)。
- SOX(財務記録): サーベンス・オクスリー法は、監査調書の7年間の保持を義務付けている(18 USC 1520)。
- SEC規則17a-4: ブローカー・ディーラーは、記録の種類に応じて3年から6年間、一定の記録を保持しなければならない。
- 銀行秘密法(AML記録): 金融機関は、通貨取引報告書および疑わしい取引報告書を含む一定の取引記録を5年間保持しなければならない。
州レベルの要件: カリフォルニア州のCCPA/CPRAは、事業者に対し保持期間の開示、および合理的に必要な期間を超えたデータの保持の回避を義務付けている(カリフォルニア州民法1798.100(c))。コロラド州、バージニア州(VCDPA)、テキサス州(TDPSA)は、処理目的に沿った文書化された保持期間を要求する同様の保存制限原則を有している。
英国
ブレグジット後、英国は英国GDPRおよび2018年データ保護法を通じてGDPRの保存制限原則を維持している。ICOは、分野別の英国法とあわせてこれを執行している。
英国データ保護・デジタル情報(DPDI)法案は、2024年7月の総選挙を前に議会解散に伴い廃案となった。データ(利用およびアクセス)法は2025年6月19日に成立し、スマートデータ制度およびデータ共有に変更を導入したが、英国GDPRの中核的な保存制限原則は変更されていない。
分野別の期間には次のものが含まれる。
- 金融サービス: FCA規則は、取引記録を5年間(MiFID II)、AML記録を事業関係終了後5年間保持することを要求する。
- 通信: 2016年捜査権限法は、法執行アクセスのためにインターネット接続記録を最大12か月間保持することを認めている。ベルギー、デンマーク、英国は、CJEU判例に沿った的を絞った保持のみを課す数少ないEU/元EU法域の一つである。
- 雇用: HMRCは、給与記録を関連する課税年度の終了後3年間保持することを要求している。
EU加盟国
GDPRの枠組みを超えて、個々のEU加盟国は分野別の法定保持期間を維持している。主な例:
金融・AML: すべての加盟国は、顧客デューデリジェンスおよび取引記録についてEU AML指令の5年保持要件を実施している。
雇用: ドイツは税務関連の雇用文書について10年を要求し、フランスは給与記録について5年を要求し、ポーランドおよびチェコ共和国は社会保険および年金関連記録について50年を要求する。
医療記録: ドイツは治療終了後10年間の医療記録の保持を要求し、フランスは最終診療から20年を要求し、イタリアは重大な医療処置の記録について30年を要求する。
通信メタデータ: 前述のとおり、現時点で義務的な通信保持規則を持たないのはドイツ、オランダ、ルーマニアのみである。他のほとんどの加盟国は、CJEU判例と整合しない可能性がある国内法を維持しているが、国内でまだ正式に無効とはされていない。
ブラジル(LGPD)
ブラジルのLGPDは、第15条においてGDPRの保存制限原則を反映しており、処理目的が達成された後の個人データの削除を要求している。例外は、法的義務の履行、研究(可能な場合は匿名化を伴う)、および管理者の正当な利益をカバーする。
ブラジルの国家データ保護局(ANPD)は、2024年に最初の重要な執行決定を下し、保持ガイダンス草案を公表し、定められたスケジュールなしにデータを保持する組織に対する規制上の精査の強化を示唆した。
ブラジルの分野別要件には次のものが含まれる。
- 税務記録: 5年間(国家租税法典)。
- 雇用記録: 一般的な記録は5年間、労働衛生記録は最大30年間。
- 消費者記録: 5年間(消費者保護法典)。
中国(PIPL)
中国のPIPL第19条は、保持期間が「処理目的を達成するために必要な最小限」であることを要求している。組織は、目的が達成された時点、合意された保持期間が満了した時点、または本人が同意を撤回した時点で、個人情報を削除または匿名化しなければならない。
2024年9月30日に公布され2025年1月1日に施行された「ネットワークデータセキュリティ管理条例」は、ネットワークデータ処理者に対し、その処理規則に個人情報の保持期間を含めることを要求している。期間の確定が困難な場合は、その決定方法を明示しなければならない。この条例は、PIPLの要件をより具体的な運用レベルで実施するものである。
既存の分野別要件は引き続き効力を有する。
- ネットワークセキュリティ法: ネットワーク運営者は、ネットワークログを最低6か月間保持しなければならない。
- 金融記録: 銀行は、口座解約後5年間顧客身元確認記録を、取引後5年間取引記録を保持しなければならない。
- 通信: 事業者は、サービス提供期間に加え、解約後5年間、利用者登録情報を保持しなければならない。
インド(DPDPA)
インドのDPDPA第8条(7)は、データ受託者に対し、処理目的が達成され、かつ法令遵守のためにもはや保持が必要でなくなった時点での個人データの消去を要求している。
2025年11月13日に最終確定した2025年デジタル個人データ保護規則は、具体的な保持規定によりDPDPAを運用可能にしている。
- 最低保持期間(第7附則の処理): 第7附則(国家安全保障、法定義務)に基づき処理を行うデータ受託者は、個人データ、トラフィックデータ、処理ログを、処理日から最低1年間保持しなければならない。
- 最大保持期間(大規模プラットフォーム): 登録インド人利用者2,000万人以上を有するEコマース事業者およびソーシャルメディア仲介者、ならびに登録利用者500万人以上を有するオンラインゲーミング仲介者は、データ主体の直近の請求または規則施行日のいずれか遅い方から3年の上限に服する。
- 削除前通知: データ受託者は、本人がプラットフォームと交流していない場合、個人データの削除の48時間前までに影響を受ける個人に通知しなければならない。
同規則は段階的に施行される。同意管理者に関する規定は12か月、その他は18か月である。分野別法令は引き続き適用される。会社法2013は財務記録について8年を要求し、所得税法は税務記録について6年から8年を要求し、RBIのKYC規制は事業関係終了後5年を要求する。
韓国(PIPA)
韓国のPIPA第21条は、保持期間の満了または処理目的の達成から5日以内の個人情報の破棄を要求している。この5日間という破棄期限は、世界で最も厳格なものの一つである。
他の法律で保持が要求される場合、その情報は他の個人データとは別に保管されなければならない。分野別の期間には次のものが含まれる。
- Eコマース: 電子商取引消費者保護法の下で契約および決済記録について5年間。
- 通信: 電気通信事業法の下で、加入者データについて12か月、通信メタデータについて3か月。
- 税務記録: 国税基本法の下で5年間。
オーストラリア
オーストラリアの1988年プライバシー法(オーストラリア・プライバシー原則第11)は、いかなる目的にも不要となった個人情報を破棄または非識別化するための合理的な措置を講じることを組織に要求している。
2024年プライバシーおよびその他の法律改正法(連邦法)は2024年12月10日に成立し、同法制定以来最も重要なオーストラリアのプライバシー制度改革を導入した。データ保持に影響する主な変更には次のものが含まれる。個人情報を保護するための「合理的な措置」には「技術的および組織的措置」の実施が含まれるとの明確化、プライバシーの重大な侵害に対する新たな法定不法行為(2025年6月10日までに施行)、そして2024年12月11日から施行された自動意思決定の透明性に関する新たな義務である。電気通信(傍受およびアクセス)法の下での2年間の通信メタデータ保持要件は変更されていない。
カナダ
カナダのPIPEDA(個人情報保護および電子文書法、SC 2000, c 5)は、組織に対し、特定された目的のために必要な期間のみ個人情報を保持することを要求している。ケベック州の第25号法改正(2023年9月施行)は、目的が達成された時点での個人情報の破棄または匿名化を組織に要求している。
C-27法案/CPPAの動向: PIPEDAに代わる消費者プライバシー保護法を制定するはずであったC-27法案は、2025年1月の議会閉会に伴い議事日程から消滅した。2025年4月の連邦選挙により、改革はさらに先送りされた。プライバシーコミッショナー事務局は、第45回議会で連邦プライバシー改革が優先課題となることへの自信を表明しているが、2026年5月現在、新たな連邦法は制定されていない。カナダは、2000年に制定された法律であるPIPEDAの下での運用を継続している。
日本
日本の**個人情報の保護に関する法律(APPI)**第22条は、取扱事業者に対し、個人データが不要になったときは遅滞なく消去するよう努めることを要求しているが、固定の保持期間は定めていない。業界ガイドラインがさらなる具体性を提供している。電気通信事業者向けの総務省ガイドラインは、事業者に対し保持期間を文書化し、保持期間満了後遅滞なくデータを消去することを要求している。
個人情報保護委員会(PPC)は2024年度(2024年4月から2025年3月)に67件の執行事例を処理し、行政上の課徴金制度の導入を含む2025年APPI改正について協議中である。分野別の保持期間には次のものが含まれる。会社法の下での商業帳簿(10年)、銀行法の下での金融機関記録(口座解約後10年)、国税通則法の下での税務記録(7年)。
シンガポール
シンガポールの**個人データ保護法(PDPA)**は、事業上または法律上の目的のために不要となった個人データの保持を停止または処分することを組織に義務付ける保持制限義務を課している。PDPCは2024年から2025年にかけて執行を強化した。2024年のKeppel Telecommunicationsに対する事案では、レガシーサーバーから古い個人データを削除しなかったことが違反と認定された。制裁金は、シンガポールにおける年間売上高が1,000万シンガポールドルを超える組織について、最大100万シンガポールドルまたは年間売上高の10%に達し得る。
分野別の要件には次のものが含まれる。MASの規制を受ける金融機関は顧客記録を5年間保持しなければならず、医療提供者は私立病院及び診療所規則の下で医療記録を6年間保持しなければならない。
南アフリカ(POPIA)
南アフリカの**個人情報保護法(POPIA)**第14条は、収集目的の達成に必要な期間を超えて個人情報の記録を保持してはならないと定めている。適法な業務、契約上の義務、または本人の同意のためには、延長された保持が認められる。
記録が本人に関する意思決定のために使用された場合、法律または行動規範により要求される期間、そのような期間が定められていない場合には、本人が合理的にアクセスを請求できるだけの十分な期間、保持されなければならない。POPIAは2020年7月1日に施行され、遵守期限は2021年6月30日であった。
メキシコ
メキシコは、2010年版に代わる**民間部門保有個人データ保護連邦法(LFPDPPP)**を2025年3月21日に施行した。データ管理者は保持期間を定め、期間満了後、ブロッキングプロセスに従いデータを削除しなければならない。契約不履行に関連するデータは72か月後に削除されなければならない。処理目的が達成されると、データはブロック(保存されるが処理されない)され、法令上または契約上の消滅時効が満了するまで保持され、その後削除される。
主要な保持期間比較表
| 分野・記録種別 | 米国 | EU/GDPR | 英国 | ブラジル | 中国 | 韓国 | オーストラリア | 日本 | シンガポール |
|---|---|---|---|---|---|---|---|---|---|
| 税務・財務記録 | 3~7年 | 5~10年(州により異なる) | 3~6年 | 5年 | 5年 | 5年 | 5~7年 | 7年 | 5年 |
| 雇用・給与 | 2~3年(FLSA) | 6~10年(異なる) | 3年(HMRC) | 5~30年 | 契約および法律による | 3年 | 7年 | 契約による | 5年 |
| 健康・医療記録 | 6年以上(HIPAA文書) | 8~20年(異なる) | 8~25年(NHS) | 20年 | 最低15年 | 治療後5年 | 7年 | 分野により異なる | 6年 |
| 通信メタデータ | 連邦義務なし | 加盟国により異なる(一般保持はCJEUにより禁止) | 12か月(IPA) | 分野規制による | 6か月(ログ) | 3~12か月 | 2年 | 総務省ガイドラインによる | MDA規則による |
| マネーロンダリング対策 | 5年(BSA) | 5年(AMLD) | 5年 | 5年 | 5年 | 5年 | 7年 | 7年 | 5年 |
| 消費者・Eコマース | 連邦義務なし | 目的ベース | 目的ベース | 5年 | 目的ベース | 5年 | 目的ベース | 目的ベース | 目的ベース |
データ破棄要件
保持義務は、いつ破棄すべきかだけでなく、どのように破棄すべきかを定める強制力ある要件がなければ意味をなさない。ほとんどの現代のプライバシー法は、データの破棄方法を具体的に定めている。
GDPR/EUのアプローチ: GDPRは、データを復元不能にする消去を要求する。ENISAは、ハードウェアについては物理的破壊、電子記録については暗号消去または複数回の上書きを推奨するガイダンスを公表している。EDPBは、匿名化(個人を識別できなくすること)が研究およびアーカイブ目的における削除の代替となり得ると指摘する一方、仮名化を保存制限の目的における消去と同等に扱うことに警鐘を鳴らしている。
米国連邦基準: NISTはSP 800-88 Rev. 1(「メディア無害化のためのガイドライン」)を公表しており、データ保存媒体のクリア、パージ、破壊の詳細な方法を提供している。多くの州プライバシー法は、適切な破棄の基準としてNIST基準を参照している。
文書化要件: 複数の法域が破棄の文書化された記録を要求している。
- 韓国は、目的満了から5日以内に日付、方法、責任者を記載した破棄ログを要求している。
- 英国のICOは、外部委託の処分サービスについて破棄証明書を保持することを推奨している。
- シンガポールのPDPAは、記録の保持を含む破棄についての「合理的な説明責任」を組織に要求している。
- インドのDPDPA規則は、48時間の削除前通知が文書化され記録されることを要求している。
バックアップデータ: EDPBの2025年CEF報告書は、回答したDPAの半数が、管理者はバックアップシステムからの消去について特段の手続を持っていないと報告したことを明らかにした。一部の管理者はバックアップから個人データを全く削除していない。規制当局は、バックアップデータを主要データと同一の削除義務の対象として扱う傾向を強めている。
訴訟保持と保持義務の衝突
訴訟保持(リーガルホールド)とは、訴訟が合理的に予見される場合に、潜在的に関連するすべての文書およびデータを保存する義務である。米国では、保存義務はコモンローおよびFRCPの改正、特に電子的に保存された情報の保存に失敗した場合の制裁を扱う規則37(e)から生じる。
訴訟保持は、標準的な保持スケジュールに優先する。組織の方針が3年後の削除を定めていても、当該記録に関する訴訟が予見される場合、組織はホールドが解除されるまで、影響を受けるデータの削除を停止しなければならない。
GDPRの下では、データ最小化の要件と訴訟保持義務との間の緊張関係が明示的に認識されている。GDPR前文65は、法的請求の確立、行使、または防御のために、本来の目的を超えた保持が許容され得ると定めている。組織は、この法的根拠を処理活動記録に文書化し、影響を受けるデータ主体に伝達しなければならない。
遵守可能な保持方針の構築方法
複数法域にわたる保持要件に対応する組織は、以下のステップに従うべきである。
1. データの棚卸しを実施する。 収集される個人データのすべてのカテゴリー、それが流れる法域、および処理の法的根拠をマッピングする。この棚卸しが、防御可能な保持スケジュールの基礎となる。
2. 保持スケジュールを構築する。 各データカテゴリーについて、関連するすべての法域にわたって適用可能な保持期間を特定する。保持の上限を最長の義務的期間に設定する。各期間の法的根拠(法的義務、正当な利益、または同意)を文書化する。
3. 国境を越えたマトリクスを構築する。 多国籍組織にとっては、最長の義務的期間、最短の最大期間、そしてその結果生じる適法な期間を特定する法域別の表を作成する。法域間で矛盾が生じる場合(例:法域Aで義務的な最低12か月と法域Bで目的ベースの最大6か月)、その緊張関係と選択した解決策を文書化する。
4. 削除を自動化する。 手動の削除プロセスはエラーが生じやすい。現代のデータガバナンスプラットフォームは、訴訟保持の例外処理を伴いつつ、保持スケジュールに基づく自動削除を実施できる。EDPBの2025年CEF報告書は、バックアップデータが一般的な欠落分野であることを明らかにした。
5. すべてを文書化する。 規制当局および裁判所は、組織が保持方針を有しているだけでなく、それに従っていることを証明するよう、ますます期待している。破棄ログ、監査証跡、例外記録を保持する。韓国とインドはいずれも破棄事象の具体的な文書化を要求している。
最近の動向(2024年から2026年)
EDPB 2025年消去権執行。 EDPBの2025年協調執行アクションは、32法域にわたる764の管理者を対象とし、保持期間の決定および実施における広範な困難を明らかにした。EDPBは、各国のDPAに対し、より具体的な保持ガイダンスを策定するよう求めた。
EUのメタデータ保持立法。 欧州委員会は2025年5月、EU全域の義務的メタデータ保持枠組みの復活について正式なエビデンス募集を開始した。法案は2026年初頭に予定されている。この提案は、通信事業者、クラウドサービス、決済処理業者、そして潜在的にはエンドツーエンド暗号化されたメッセージングサービスにも適用される見込みである。いかなる法律も、一般的かつ無差別な保持を禁じるCJEU判例を踏まえたものでなければならない。
インドDPDPA規則の最終確定。 インドのDPDPA規則は2025年11月13日に最終確定し、大規模デジタルプラットフォームについて初めて具体的な保持上限を設けた。
オーストラリアのプライバシー法改革。 2024年プライバシーおよびその他の法律改正法(2024年12月10日成立)は、同法制定以来最も重要なオーストラリアのプライバシー改革を導入し、破棄義務を明確化し、新たな法定不法行為を導入した。
メキシコの新LFPDPPP。 メキシコの改正LFPDPPPは2025年3月21日に施行され、2010年の枠組みを更新されたデータ取扱いおよび保持ブロッキング手続に置き換えた。
Frequently Asked Questions
GDPRの保存制限原則と義務的データ保持法の違いは何ですか?
GDPRの保存制限原則(第5条(1)(e))はプライバシー保護であり、本来の目的に必要な期間を超えて個人データを保持することを禁じる。義務的データ保持法は監視のための道具であり、法執行機関が事後的にアクセスできるよう、インターネットプロバイダーおよび通信事業者に加入者およびトラフィックメタデータを一定期間保持することを義務付ける。両者は同一のデータに同時に適用され得るため、義務的な最低期間と保存制限の上限との間に適法な保持期間の枠が生じる。
GDPRの下で企業はどのくらいの期間個人データを保持できますか?
GDPRは具体的な期限を定めていない。第5条(1)(e)は、個人データを収集目的に必要な期間を超えて保持しないことを要求している。組織は、処理目的、法的義務、分野別規則に基づき保持期間を決定し文書化しなければならない。EDPBの2025年執行報告書は、ほとんどの組織がこれを一貫して行うことに苦労していることを明らかにした。
EUのデータ保持指令はどうなりましたか?
欧州連合司法裁判所は、Digital Rights Ireland事件(事件C-293/12号、2014年4月8日)においてデータ保持指令(2006/24/EC)を無効とした。裁判所は、区別を設けずすべての利用者のすべての通信メタデータについて一律の保持を要求することは憲章上のプライバシーおよびデータ保護の権利に違反すると判断した。欧州委員会は現在、代替となる義務的保持枠組みについて協議中であり、2026年初頭に法案が予定されている。
EUでは一般的な通信メタデータ保持は依然として認められていますか?
ほとんどの犯罪防止目的については認められていない。2014年から2022年にかけてのCJEU判例は、すべての利用者のすべてのトラフィックおよび位置データについて一般的かつ無差別な保持を行うことはEU法と両立しないと確立した。的を絞った保持(対象者、地理、カテゴリーに基づく)、クイックフリーズ命令、そして司法の承認を伴うリアルタイムの監視のみが認められている。2024年のLa Quadrature du Net II判決は、他のメタデータより侵害性が低いとされるIPアドレス保持について限定的な例外を設けた。
インドのDPDPA保持規則はどうなりましたか?
インドのDPDPA規則は2025年11月13日に最終確定した。同規則は、国家安全保障および法定義務に基づき処理される個人データについて最低1年間の保持を要求する。大規模なEコマースプラットフォーム、ソーシャルメディア仲介者(利用者2,000万人以上)、オンラインゲーミングプラットフォーム(利用者500万人以上)は、最大3年の保持上限に服する。データ受託者は、利用者が最近プラットフォームと交流していない場合、データ削除の48時間前に利用者に通知しなければならない。
カナダのプライバシー改革の現状はどうなっていますか?
PIPEDAを消費者プライバシー保護法(CPPA)に置き換えるはずであったカナダのC-27法案は、2025年1月の議会閉会に伴い議事日程から消滅した。2025年4月の連邦選挙により、改革はさらに先送りされた。カナダは依然として2000年に制定されたPIPEDAの下で運用されている。ケベック州の第25号法(2023年9月施行)は、より強力な州レベルの要件を定めている。
訴訟保持はデータ保持方針に優先しますか?
はい。訴訟が合理的に予見される場合、組織は標準的な保持スケジュールにかかわらず、潜在的に関連するすべてのデータを保存しなければならない。米国では、FRCP規則37(e)が電子的に保存された情報の保存失敗に対する制裁を扱っている。GDPRの下では、前文65が法的請求の確立、行使、または防御のために本来の目的を超えた保持を認めている。この義務は、訴訟が終結するかホールドが正式に解除されるまで続く。
保持期間終了時に個人データはどのように破棄すべきですか?
ほとんどのプライバシー法は不可逆的な破棄を要求している。NIST SP 800-88は、物理的破壊、暗号消去、複数回の上書きを含む方法を提供している。韓国は5日以内の文書化された破棄を要求している。インドは一部のプラットフォームについて削除前48時間の通知を要求している。組織は、日付、方法、責任者を記録した破棄ログを保持すべきである。バックアップシステムには特別な削除手続が必要であり、EDPBはこれが広範なコンプライアンス上のギャップであることを明らかにした。
データ保持法は医療記録と財務記録で異なりますか?
はい、大きく異なる。医療記録は、継続的な臨床上の関連性および潜在的な医療過誤請求のため、通常より長い義務的保持期間(多くの法域で8年から25年)を有する。財務記録は一般に、法域および記録の種類に応じて3年から10年を要求する。各分野は独自の規制枠組みを有する。米国では、HIPAAが医療記録文書化(6年)を規律する一方、州の医療業法は通常、基礎となる記録について7年から10年を要求する。
企業はすべての国について同一の保持期間を使用できますか?
世界で要求される最長の期間に保持期間を設定することは法的に保守的であるが、より短い最大期間を定める国のデータ最小化要件と矛盾する可能性がある。より安全なアプローチは、データ主体が居住する場所に基づく法域別の保持スケジュールであり、各期間について法的根拠を文書化することである。多国籍組織は、各データカテゴリーおよび法域について、義務的な最低期間と保存制限の上限との間の適法な期間を特定する国境を越えたマトリクスを構築すべきである。
Sources and References
- GDPR:欧州議会および理事会規則(EU)2016/679(eur-lex.europa.eu).gov
- GDPR第5条:個人データの処理に関する原則(gdpr-info.eu)
- CJEU Digital Rights Ireland事件(事件C-293/12号およびC-594/12号、2014年4月8日)(curia.europa.eu).gov
- CJEU Tele2 Sverige and Watson事件(事件C-203/15号およびC-698/15号、2016年12月21日)(eur-lex.europa.eu).gov
- CJEU La Quadrature du Net I事件(事件C-511/18号、C-512/18号、C-520/18号、C-623/17号、2020年10月6日)(curia.europa.eu).gov
- CJEU SpaceNet and Telekom Deutschland事件(事件C-793/19号およびC-794/19号、2022年9月20日)(curia.europa.eu).gov
- CJEU La Quadrature du Net II事件(事件C-470/21号、2024年4月30日)(eur-lex.europa.eu).gov
- EDPB 2025年協調執行アクション:消去権の実施(2026年2月)(edpb.europa.eu).gov
- 英国ICO:保存制限ガイダンス(ico.org.uk).gov
- 26 USC 6501:IRSによる査定および徴収の制限(law.cornell.edu)
- 45 CFR 164.530:HIPAA運用上の要件(law.cornell.edu)
- 29 CFR 516:FLSAにより雇用主が保持すべき記録(law.cornell.edu)
- 18 USC 1520:SOXによる企業監査記録の破棄(law.cornell.edu)
- カリフォルニア州民法1798.100:CCPA消費者の知る権利(leginfo.legislature.ca.gov).gov
- ブラジルLGPD:法律13.709/2018号(planalto.gov.br).gov
- 中国PIPL全文(全人代)(npc.gov.cn).gov
- 中国ネットワークデータセキュリティ管理条例(2025年1月1日施行)(english.www.gov.cn).gov
- インドDPDPA 2023全文(meity.gov.in).gov
- IAPP:インドDPDPA規則最終確定(2025年11月)(iapp.org)
- 韓国PIPA英訳(law.go.kr).gov
- オーストラリア・プライバシー原則(OAIC)(oaic.gov.au).gov
- 2024年プライバシーおよびその他の法律改正法(連邦)、オーストラリア議会(aph.gov.au).gov
- カナダPIPEDA:個人情報保護および電子文書法、SC 2000, c 5(laws-lois.justice.gc.ca).gov
- シンガポールPDPA:データ保護義務(PDPC)(pdpc.gov.sg).gov
- 南アフリカPOPIA:第14条 記録の保持および制限(popia.co.za)
- NIST SP 800-88 Rev. 1:メディア無害化のためのガイドライン(csrc.nist.gov).gov
- FRCP規則37(e):電子的に保存された情報の保存失敗(law.cornell.edu)