ただいま、電子帳簿保存法がアツいですね。フィン&リーガルテック企業主催のセミナーはもちろん、Peatixなどでも「電子帳簿保存法」のワードをよく見かけます。
だいぶ前からわかっていたし、来年1月施行なので、この時期に準備が完了していなくて大丈夫かしら…と他人事でいたのですが、まったく他人事じゃありませんでした。
個人情報保護法との関係を聞かれたのですが、はじめ、まったくピンときませんでした。。
電子帳簿保存法の改正で「電子データの紙保存」は不可に
現在は、電子契約や電子データの請求書等は、一定のルールに従って電子的に保存するか、対応できない場合には、印刷して保存しておけばよいことになっています(電子帳簿保存法10条ただし書)。しかし、来年からは印刷して保存することは認められなくなります(改正電子帳簿保存法7条)。
タイムスタンプか訂正・削除記録のあるシステム上への保存か規程による対応が必要に
では、どんな保存のルールに従わないといけないかというと、以下のとおり、まずは真実性を担保するために以下のいずれかにより保存等を行わなければなりません。
- 書類の授受の前か後にタイムスタンプをつける
- 訂正・削除ができないシステムorその記録が残るシステムで書類の授受・保存を行う
- 社内規程でルールを定めてそのとおり運用する
どの方法をとられる企業が多いのでしょうか。
電子取引のすべてにタイムスタンプをつけるのもコストがかかりそうだし、すべての電子取引情報を訂正・削除ができないシステムで授受するのも非現実的なので、社内で事務処理規程を定めるところは外せなさそうですが。
そして、改ざんが起きないように授受や保存だけ鉄壁にしておくのでは足りず、(税務調査をしやすくするために?)出力可能にしたり、マニュアル等を備え置いたりするほか、検索機能も持たせなければなりません。来年からは検索可能にする項目が減るとはいえ、取引年月日、取引金額、取引先については検索できるようにする必要があります。
システムに保存された電子データは「保有個人データ」か
紙保存ができなくなったので、電子取引データは、どこかのサーバー(システム)に保存しなければなりません。
検索機能要件を満たすため、登録時には少なくとも電子帳簿保存法が求める項目(取引年月日・取引金額・取引先)を一緒に付与できるシステムの導入を検討されることが多いのではと思います(当社もしかり)。
ところで、いまどきのシステムはとても賢いので、システム内で検索をかけた場合、付与情報にはなっていないものもしっかり拾ってくれます。たとえば、電子契約を締結する際、文書管理システム上は取引先の法人名しか登録しなくても、締結者の氏名を検索窓に入れると、ヒットした結果を返してくれるでしょう。
むむむ…そうすると、文書管理システムは個人情報データベース等になり、ここに保存される電子契約は、個人情報データベース等を構成する個人データ、ひいては自社が削除権限等を有する保有個人データなのでしょうか。
「使わなくなったはずだから、××に記載のある私の個人情報は削除せよ」と本人から要求があった場合、消去に応じなければならないのか。
検索できれば「体系的に構成したもの」か
ある個人情報が個人データ・保有個人データであるかどうかは、その保存場所が個人情報データベース等にあたるかによります。「個人情報データベース等」とは原則として、
- 個人情報を含む情報の集合物であって、
- 特定の個人情報をコンピュータにより/容易に検索できるように
- 体系的に構成したもの
のすべての要件を満たすものをいいます(個人情報保護法2条4項)。
ソートをかけられなくても、システム内にある電子ファイルに含まれる文字列が検索できることが「体系的に構成」されたものといえるか?と問われると、さすがにそれはちょっと強引すぎないかと思います。以下のようなQ&Aもありますし…「文書作成ソフトの検索機能」という限定に深い意味があるのかしら?という気もしますが。。
電子データの場合は、ソートをかけられる状態であることが「体系的」と言えるのではないでしょうか。
つまり、文書管理システムの検索項目に個人情報を登録していない限り、契約書や請求書のファイルの中に個人情報を含んでいても、その契約書や請求書は保有個人データ(個人情報データベース等を構成する個人情報のうち、削除権限等があるもの)には当たらず、消去等の要求に応じる必要もない、ということになりませんかね。
個人事業者の場合は結局「保有個人データ」
検索項目に個人情報を登録しないなら、システムに記録される情報・電子ファイルが保有個人データにも当たらないと考えて、文書管理システムの構築や運用において、個人情報保護法にナーバスになる必要はないのでは?と考えました。
しかし、長々と書いたのですが、当社には契約相手が個人であるケースも存在し(例:契約社員)、取引先として個人名を登録しソートをかけられるようになります。そうすると、文書管理システムは個人情報データベース等にあたり、登録される情報も保有個人データになってしまいますね…
個人情報保護法が電子帳簿保存法対応に影響を及ぼす?
相談者は結局何を気にしていたかというと、改正電子帳簿保存法対応で導入する文書管理システムに、「データをサーバから完全に削除する」という機能を装備しなければならないか、ということでした。
本人から請求があり、情報が事実でなかった場合は「削除」する必要があるので(個人情報保護法29条1項)、ちゃんとサーバから削除しないといけないのでは?と一瞬思うのですが、外部のクラウドサーバを利用した場合、自社の一存で完全に削除しきれる気はしません。
ここでは我が国の個人情報保護法の話をしましたが、海外取引があればGDPRや各国の個人情報保護制度にも服さないといけないので、それらにも対応できる機能(完全に削除できるようにする機能?)が必要ですが、電子帳簿保存法周りでこの辺の話をしてくれるところってないですね。