Secure Privacy(セキュアプライバシー)によると、データ主体からの苦情により、正当な法的根拠なしに処理が行われたことが明らかになった後、組織が正式な調査に直面するケースが増えていると警告し、製品マネージャーがプライバシー担当弁護士に相談せずに行動し、個人データが正当な目的をはるかに超えてシステムに残っていたという事例が繰り返し発生している。同社は、このようなケースでは監督当局からの書簡が頻繁に発行され、保持および収集慣行が法定要件を満たしていない場合、企業は最大2,000万ユーロまたは年間世界売上高の4%に相当するEU一般データ保護規則(GDPR)第2段階の罰金を科される可能性があると指摘した。規制当局は、これらの不備を違反とは区別して扱っており、罰金はシステムが侵害されたからではなく、データの最小化に関するGDPR第5条(1)(c)および第5条(1)(e)のデータ保存制限に違反する方法でデータが収集または保持されたために科されることが多く、執行活動は現在大規模に行われていると説明されている。
Secure Privacyが説明する市場環境は、執行環境の加速化を浮き彫りにしている。GDPRの累積罰金は71億ユーロを超え、その60%以上が2023年1月以降に科された。最近の事例として、2026年初頭にFree Mobileに課されたデータ保持義務違反に対するフランスデータ保護機関(CNIL)の2,700万ユーロの罰金、明示された目的を超えてデータを収集したとして大手銀行に科されたポーランドの非公開の罰金、収集制限と削除制御の実装を怠ったとして教育テクノロジー企業から510万ドルを徴収した米カリフォルニア州とコネチカット州の共同執行などが挙げられる。米国の州法への注目も高まっており、2025年に制定された包括的な州のプライバシー法の63%がGDPRと同様のデータ最小化条項を含んでいると報告されている。また、2026年4月に施行されたメリーランド州のオンラインデータプライバシー法などの新しい法律では、提供される特定の製品またはサービスに関連付けられた収集制限が定義されている。Secure Privacyは、GDPRの目的別データ保持および最小化義務は法的根拠に関係なく適用され、保持期間は具体的に定められ、処理活動記録に記録されなければならないことを強調した。一方、米国の州法では異なる閾値や適用規則が適用される場合があり、慎重なマッピングが必要となる。
規制リスクの共通根本原因として、運用上の不備が挙げられた。それは、技術システムに実装されていないプライバシーポリシーとデータ保持の約束だ。Secure Privacyは、データベース、SaaS統合、サードパーティー処理業者全体にわたる個人データを検出できる継続的なデータインベントリーから始まる、実践的なコンプライアンスアプローチを概説した。手動インベントリーは、動的なエンジニアリング環境では通常数週間で古くなってしまうと指摘している。インベントリーは、雇用、税法、または業界法によって課される法的最低期間と、特定の処理目的に関連付けられたプライバシー主導の最大期間という2つの層を調整する保持スケジュールに反映されるべきであり、各期間には文書化された正当化が伴う。典型的な保持例として挙げられたのは、顧客アカウントデータは、関係の期間中、紛争に対処するために閉鎖後1~3年間保持され、行動分析およびプロファイリングデータは、延長前に文書化されたレビューを受けて約12カ月間保持され、人事記録は削除前に法定最低期間を満たすようにアーカイブされる。推奨される実装手順では、さらに、データ所有者の指定、削除の監査可能な確認を生成する自動削除およびアーカイブワークフロー、保持スケジュールとシステム動作が整合していることを確認するための年1回以上の監査による継続的な監視が求められた。同意の整合性への注意も強調された。同意の撤回イベントは、同意に依存するデータを保持する全ての下流システムに伝播し、削除または保持レビューワークフローをトリガーする必要がある。実際の課題は、削除要求を受け取ることよりも、関係する全てのシステムとプロセッサーで削除が行われたことを証明することだからだ。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
