保存期限限定原則（Storage Limitation）

保存期限限定原則とは

UK GDPR Article 5(1)(e) に定められた原則：

個人データは「処理目的に照らして必要以上の期間、識別可能な形式で保持されてはならない」

データ最小化が「何を収集するか」の問いなら、保存期限限定は**「いつ削除するか」**の問い。両者は「必要な範囲に限定する」という同じ思想の異なる次元を扱う。

保持スケジュール（Retention Schedule）の設計

「明確な保持期間を設けること」が GDPR の要件。保持期間の定め方には以下の4パターン：

1. 固定期間
   例: 「契約終了後 5 年間」「最終取引から 7 年間」
   理由: 会計・税務・訴訟対応等の法的義務に基づく

2. イベント連動
   例: 「雇用終了後 1 年」「製品の保証期間終了まで」
   理由: 目的（雇用管理、製品サポート）が終了した時点で不要になる

3. 本人の動向連動
   例: 「アカウント削除後 30 日以内に消去」
   理由: 本人が関係を終了させた時点で保持根拠がなくなる

4. 定期レビュー
   例: 「毎年レビューし、引き続き必要か判断する」
   理由: 継続的な業務記録など固定期間が決めにくいケース

法的義務による保持 vs 不要データの保持

保持スケジュールの設計で最も重要な区別：

法的義務による保持（legitimate retention）:
  - 労働法: 給与記録 → 最終支払いから 6 年（英国）
  - 会計法: 財務記録 → 6〜7 年
  - 消費者法: クレーム対応のための取引記録
  → GDPR 上も保持が正当化される

不要データの保持（illegitimate retention）:
  - 「もったいない」「いつか使うかも」という理由
  - 削除の仕組みを作っていないため放置されている
  - 旧システムのデータが移行後もそのまま残っている
  → 明確な GDPR 違反

消去権（Article 17）との連動

保存期限限定と消去権は密接に連動する：

消去権の発動条件（Article 17(1)(a)）:
  「処理目的に関してもはや必要でなくなった個人データ」
  ↑ これは保存期限限定の論理をそのまま繰り返している

つまり:
  保存期限を超えたデータ = 消去権の対象データ
  保存期限管理が機能している = 消去権対応が事前に完了している

保存期限スケジュールを適切に管理している組織は、消去権リクエストへの対応コストが低い。

アーカイブ・研究目的の例外（Article 89）

「保存期間を過ぎても削除しなくていい」例外が存在する：

例外が認められる目的:
  1. 公益目的のアーカイブ（歴史的記録など）
  2. 科学的・歴史的研究目的
  3. 統計目的

例外の条件（累積適用）:
  □ 仮名化などの適切な技術的保護措置を実装
  □ データ主体の権利を「著しく侵害しない」範囲
  □ 識別を避けるため匿名化が可能なら実施
  □ 研究目的が「公益性」の要件を満たす

研究目的であっても無制限ではない。必要性・比例性の評価は引き続き求められる。

実務上の落とし穴

よくある問題:
  ✗ 保持期間は決めたが削除の仕組みがない
    → スケジュールは「実行されて初めて意味を持つ」

  ✗ バックアップにも古いデータが残り続ける
    → バックアップも GDPR の適用対象

  ✗ 「検索できないから問題ない」という誤解
    → アクセス困難でも個人データとして保持していれば対象

  ✗ 保持スケジュールを作ったが更新していない
    → 法改正・業務変更に合わせた定期見直しが必要