湯淺墾道先生がデジタル・フォレンジック研究会に書かれていたコラム*1を見て少しだけ整理してみる。

個人情報保護法で定められている削除，消去とはどのような作業をすることを意味するのか。

特に，個人情報保護法の改正案では，19条で，「利用する必要がなくなったときは，当該個人データを遅滞なく消去するよう努めなければならない。」という努力義務が定められることとなっているので，ユーザが退会したりしたら消去しなければならなくなるため，重要である。

現行法27条1項の「消去」に関する解説（宇賀「個人情報保護法の逐条解説［第3版］147頁）では，

個人データを匿名化して個人を識別できなくし，個人情報でないものにすることも「消去」に含まれる。最近，データの復元技術が進歩したため，削除したデータをハードディスクから復元することが可能になり，ハードディスクを物理的に破壊しない限り完全に消去したとはいえない状態になっている。本項にいう「消去」は，そこまで義務付けるものではなく，OSやアプリケーションソフトに通常備わっている復元機能では復元できない状態にすれば足りるが，センシティブな個人データを廃棄する場合には，復元が行われないように十分に配慮すべきである。

とする*2。「通常備わっている復元機能では復元できない状態」というのも，なかなか難しい。また，岡村「新訂・個人情報保護法」110頁では，

OS画面上の「ゴミ箱」に入れるだけでは簡単に復旧できる。また，データベースの場合，プログラムの仕様に基づき簡単な操作で消去したレコードを復元することができる場合がある。これらの場合には「消去」したとはいえない。

とする。レコード単位の削除では「ゴミ箱」に入れるという操作が生じることはほぼないのだろうが，わかりやすい例を挙げられたのだろう。さらには，経産省のガイドライン*354頁では，

「消去」とは，保有個人データを保有個人データとして使えなくすることであり，当該データを削除することのほか，当該データから特定の個人を識別できないようにすること等を含む。

とする。

オンライン画面からの操作で「削除ボタン」を押すなどして「消去」をしたとしても，通常は，データベース上で，delete文が発行されるのではなく，update文で，「削除フラグ」が立てられることが多い。そのレコードは，普通に検索するときに引っかからないだけで，テーブルの中で残っていることが通常である（これを「論理削除」「ロンサク」などと呼んでいた。これに対し，deleteによってデータを消すことを「物理削除」「ブッサク」と呼んでいた。）*4。

上記の定義に従えば，論理削除の段階では「通常備わっている復元機能」によって復元できるので（一般ユーザでは難しくとも，システム管理者等であれば容易である。），「消去」とは言えないように思われる。

とはいえ，物理削除までしなければならないとなると，過去のデータが参照できなくなったりして，システム内のデータの整合性が取れなくなったりする危険がある。もちろん，当該個人に紐づくトランザクションデータ（取引データ，購買履歴データ等）も，個人情報にあたるため，ユーザのマスタ（氏名等の属性情報）だけを物理削除すればよいというわけではなく，関連するトランザクションデータもすべて物理削除しなければならないことになってしまう。

これは，システムの設計者からすると，かなり厄介なことである。特定のマスタを削除した場合において，関連するトランザクションデータをすべて削除しなければならないというのは，結構負担が大きい。消し忘れがあると，義務違反となるだけでなく，システムのデータ不整合になる危険もある*5。

個人情報取扱事業者が安全管理措置を講じるためには，一定のバックアップを実施することも当然に予定されているが，消去の場合には，そのバックアップデータに対しても同様のことが必要だろうか。さすがにバックアップデータに残っているだけでは，個人データとして使うことができないので，そこまでは求めていないように思われるが，レストアすれば使用可能な状態に戻るため，「復元機能では復元できない」とも言えない*6。

そういう不都合，困難さも考慮して，改正19条では努力義務に留めているのだろう。

消去，削除に関するこれまでの議論はあまり見かけていないので，何かお気づきの点があればお知らせくださいm(_ _)m