論理削除と個人情報

ユーザアカウント削除/退会、その他データ削除(チャットアプリを例)についてまとめておく。

法律の専門家でないので、問題ない場合もあるかもしれないが、最低限これは問題(になりうる)という点をまとめておく。

第二十二条　個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

第三十五条　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。

国籍がEUでなくともEU居住ならGDPRの保護対象になる。

そういうチャットの運用を社内規定として設けているところは割と聞く。

削除したデータでも閲覧できてしまうしようではこのユースケースは満たせない。

ビジネス上の都合から見ても問題がある場合があるということ。

チャットアプリで削除済みデータを閲覧できるサービスはあるかどうか調べた。

Slackのような国際的知名度に欠けているにも関わらず、日本企業のシェアが厚い(Chatworkには失礼だが)では削除済みデータの閲覧、復元ができない。

一応ログエクスポートはプランによってはできそう。

Chatworkに失礼な枕詞をつけた理由は、海外企業が運営しているサービスは海外の法律を守るために機能に制限があり、日本企業ではゆるいから問題ないし、日本企業には削除済みデータを閲覧することに需要がある、という論理に対する反証っぽいもの(需要があることの反証にはなっていないがその機能がなくても市場のシェアを獲得した事例が日本でもあるという例)。

管理者画面でチャットログをexportする機能がなさそうなサービスが多い。

Wowtalk

LINE works

Teamsは削除可能かどうかのポリシーを作成することができる

このデータの完全な削除は、構成された保持期間が終了する前には行われず、このデータを保持するために別のアイテム保持ポリシーが構成されているか、電子情報開示ホールドの対象となっている場合に行われます。

Slackは条件付きで見ることができる。

削除済みデータを閲覧、活用できることが市場において有利なことかを法務の専門家抜きに判断することは、法令違反を侵すかもしれず、またそれによりコンプライアンス観点の信頼低下というリスクと天秤にかける必要がある。

個人情報保護、プライバシー保護を軽視していると判断される。

サービスの対象ユーザ個人や、あるいはBtoBの場合は決済担当者のようなメインユーザがそこまで把握していないとしても、サービスが拡大すればメインユーザとしての想定がされていなかったステークホルダがそれに気づく可能性はある。

そもそも天秤にかけるとかのレベルではなく法務はサービスを運用する際の大前提と言われればそれはそう。

データの保持期間を定め、その保持期間が過ぎたら物理削除されるとか、利用規約をなるべく専門家の指導に則って定めるとかは当然のこととしてやらなきゃだめだよねというのもそれはそう。

そもそも「削除」したものが「閲覧」、「復元」できてしまうってそれは削除とは言わないのではないか。

削除じゃないのに削除されるかのようにミスリードするのはよくない。