データ保持ポリシーとは、「全部取っておく」の対極にあるルール作りです。法的要件・ビジネスニーズ・コストのバランスで保持期間を決め、不要なデータは確実に削除する仕組みを構築する必要があります。本記事では、ポリシーの基本概念、法的な保存期間の基準、設計フレームワーク、削除の実務、運用と見直しまでを整理します。「持たないデータはリスクにならない」——この原則の実装方法を具体的にお伝えします。
データ保持ポリシーとは
データ保持ポリシー(Data Retention Policy)は、組織が保有するデータの種類ごとに「どれくらいの期間保存し、いつどのように削除するか」を定めた規程です。単なる文書ではなく、データライフサイクル管理の中核として、データガバナンス全体を支える骨格に相当します。
「とりあえず保存しておく」という姿勢は、一見リスクを回避しているように見えて、実は複数のリスクを抱え込む行為です。第一に、ストレージコストの継続的増加。第二に、漏洩時の被害範囲拡大。第三に、GDPRのデータ最小化原則違反。第四に、古いデータが意思決定を誤らせる誤用リスクです。
【データライフサイクルとポリシーの関係】
[取得] --> [保存] --> [利用] --> [共有] --> [アーカイブ] --> [削除]
| | | | | |
v v v v v v
同意取得 分類付与 利用目的 アクセス制御 低頻度領域 物理削除
合法性 暗号化 監査ログ NDA確認 長期保存 証跡管理
※ 各段階でポリシーが機能して初めてデータ保持は実効的になる
法的要件と保持期間の基準
日本企業におけるデータ保持期間は、複数の法令に基づいて決まります。税法、労働基準法、電子帳簿保存法、個人情報保護法、業種別の規制などが重なり合う領域であり、最小限の法定期間を満たしつつ、ビジネス上の必要性とのバランスを取る必要があります。
| データ種類 | 根拠法令 | 保存期間 | 保存形式 | 注意点 |
|---|---|---|---|---|
| 帳簿・決算関係書類 | 法人税法 | 7年(一部10年) | 紙または電子 | 欠損金繰越は10年 |
| 取引関係書類(請求書等) | 法人税法 | 7年 | 紙または電子 | 電帳法対応が必要 |
| 電子取引データ | 電子帳簿保存法 | 7年 | 電子のみ | 改正で電子保存義務化 |
| 労働者名簿・賃金台帳 | 労働基準法 | 5年(経過措置3年) | 紙または電子 | 時効期間との整合 |
| 源泉徴収簿 | 所得税法 | 7年 | 紙または電子 | – |
| 契約書 | 商法・民法 | 一般に10年 | 原本保管 | 商事時効は5年 |
| 個人情報(保有個人データ) | 個人情報保護法 | 目的達成まで | – | 達成後は遅滞なく削除 |
| 医療記録 | 医師法・医療法 | 5年(電子カルテ) | 紙または電子 | 診療完結日起算 |
上記はあくまで最低ラインです。裁判対応や税務調査の遡及期間を考慮して、さらに長期間保管する判断もあり得ます。ただし「念のため永久保存」は、個人情報保護法やGDPRのデータ最小化原則に反するため、根拠のない長期保存は避けるべきです。
ポリシー設計のフレームワーク
データ保持ポリシーを実務で機能させるには、(1)データ分類、(2)保持期間の決定、(3)削除方法、(4)例外管理、(5)承認プロセスの5要素を定義する必要があります。これらをデータ種別ごとの表にまとめたものが、現場で使われる「保持ポリシーテンプレート」となります。
| データ分類 | 保持期間 | 削除方法 | 例外条件 | 承認者 |
|---|---|---|---|---|
| 顧客個人情報(active) | 取引終了+5年 | 論理削除後に物理削除 | 係争中は延長 | 法務責任者 |
| マーケティング同意データ | 同意取得日+3年 | 匿名化または削除 | 同意継続中は延長 | マーケ責任者 |
| アクセスログ・監査ログ | 取得日+1年 | 物理削除 | インシデント調査中は保持 | CISO |
| 財務・会計データ | 事業年度終了日+7年 | アーカイブ後に削除 | 税務調査対応 | 経理部長 |
| 人事・給与データ | 退職日+5年 | 物理削除 | 退職金関連は延長 | 人事部長 |
| バックアップデータ | 世代管理(週次・月次) | ローテーション削除 | リカバリテスト期間 | IT責任者 |
設計の際には「デフォルト削除」の考え方を採用するのがおすすめです。明示的に延長理由がないデータは、期限到来時に自動的に削除されるという仕組みです。削除を「例外処理」ではなく「通常処理」とすることで、運用の怠慢による過剰保存を防げます。
データ削除の実務
データ削除には、論理削除と物理削除があります。論理削除はデータにフラグを立てて見かけ上非表示にする方式で、復元性と監査性が残る利点があります。物理削除はデータそのものを完全に消去する方式で、復元不可能にすることで漏洩リスクを下げます。プライバシー規制対応では、論理削除だけでは不十分で、物理削除まで実施することが求められる場合が多くあります。
意外な盲点となるのがバックアップデータです。本番環境から削除しても、バックアップテープやクラウドスナップショットに残存し続けるケースが頻発します。削除ポリシーはバックアップを含めた全保管場所に対して適用する必要があります。GDPRの削除権対応では、バックアップ上のデータも含めた削除が求められるのが一般的です。
削除の証跡管理も重要です。「いつ、誰が、何を、どの方法で削除したか」をログに残しておかないと、有事に「削除した証拠がない」という事態になります。削除操作もシステム的に記録し、監査時に提示できる状態を保ちます。
ポリシーの運用と見直し
データ保持ポリシーは「作って終わり」ではなく、定期的な見直しが不可欠です。法改正、新サービスの立ち上げ、海外展開、M&Aなど、見直しを迫るイベントは頻繁に発生します。少なくとも年1回の定期レビューと、重大イベント発生時の臨時レビューをセットで運用するのが定石です。
例外管理も要注意です。「係争中のため削除を保留」「監査対応のため延長」など、正当な例外は必ず発生します。しかし、例外が累積すると、結局は「とりあえず保存」の状態に戻ってしまいます。例外には期限を設定し、期限到達時に再審査する仕組みを組み込んでください。
法改正への対応は、法務部門だけで抱え込まず、外部の法律事務所やコンサルタントのニュースレター等を活用して早期キャッチする体制が望ましいでしょう。電子帳簿保存法の改正や個人情報保護法の改正など、ここ数年は変化が激しい領域だからです。
まとめ――「持たないデータ」はリスクにならない
本記事の要点を整理します。
- データ保持ポリシーは「全部取っておく」の対極、法的要件・ビジネス・コストのバランス設計
- 法定保存期間は業法ごとに異なる。税務関係は7年、労働関係は5年が基本線
- ポリシーは分類・期間・削除方法・例外・承認者の5要素で設計し、デフォルト削除を原則にする
- 論理削除と物理削除を使い分け、バックアップを含めた全保管場所に適用する
- 年1回の定期レビューと、重大イベント発生時の臨時レビューを組み合わせる
「持たないデータはリスクにならない」という原則を実装することが、データガバナンスの本質です。貴社の保持ポリシー設計を伴走支援しますので、DE-STKまでお気軽にご相談ください。関連記事として、データガバナンスフレームワーク、同意管理(CMP)の設計、データプライバシーもあわせてご覧ください。
よくある質問(FAQ)
Q1. データ保持ポリシーとは何ですか?
データの種類ごとに保持期間と削除ルールを定めた社内規程です。法的要件、ビジネスニーズ、コスト、リスクを考慮して設計し、デフォルト削除の原則で運用します。
Q2. すべてのデータを永久に保存すればよいのでは?
不要なデータの保持はストレージコスト増加、セキュリティリスク拡大、法的リスク(GDPRのデータ最小化原則違反等)を招きます。必要な期間だけ保存するのが原則です。
Q3. データ削除の「論理削除」と「物理削除」の違いは?
論理削除はデータにフラグを立てて非表示にすること、物理削除はデータそのものを完全に消去することです。プライバシー規制対応では物理削除が求められる場合があります。