2025年電通Merkle事件:退職者データ「消し忘れ」の法的代償
2025.11.30UP!
- blog
- GDPR
- UK GDPR
- コンプライアンス
- データガバナンス
- データ漏えい
- リテンションポリシー
- 忘れられる権利
- 電通Merkle事件
2025年、電通グループの顧客体験管理部門Merkle(英国)がサイバー攻撃を受け、現・元従業員150名超の個人情報が流出した事件。被害者が懸念しているのは「漏えいした」ことだけではありません。
「10年以上前に退職した自分のデータが、なぜまだ存在していたのか」
この問いこそが事件の本質です。これは単なるセキュリティの失敗ではなく、データガバナンスの構造的欠陥です。本稿では、日本企業の陥りがちな「削除できない」企業文化について、条文比較から訴訟リスク、そして解決策までを多層的に分析します。
第1章:条文比較―「努力義務」vs「法的義務」の決定的な差
なぜ日本企業はデータを消さないのか。その根本原因は、法律の強制力の差にあります。
🇯🇵 日本:【個人情報保護法】第22条
「……遅滞なく消去するよう努めなければならない」
- 性質:努力義務(原則)
- 結果:「ビジネス優先」で削除の後回しが常態化
🇪🇺/🇬🇧 EU・UK:【GDPR】第5条
「……必要な期間を超えてはならない(shall not)」
- 性質:法的義務(Strict Liability)
- 要件:保持期間の明示と、その正当性の証明義務
- ペナルティ:最大で全世界売上高の4%または2,000万ユーロ
この「強制力の差」が、企業文化の決定的な違いを生んでいます。欧州企業がRetention Policy(保持期限)を設定するのは、そうしなければ違法となり、巨額の制裁金を課されるからです。
第2章:事件の構造―「UK GDPR違反」の種
時系列で見る不作為の連鎖
- 2016年:電通がMerkleを買収(GDPR成立年)
- 2018年:GDPRおよびUK DPA 2018の適用開始
- 2020年:Brexit(英国のEU離脱)
- 2025年:情報流出発生。10年以上前の退職者データが含まれていたことが発覚
法律上、日本法の「甘さ」が直接の免罪符にはなりません。現地法人(Merkle UK)はUK GDPRを遵守する義務があり、親会社(電通)はグループガバナンスとしてそれを監督する責任があります。
「レガシーシステムの放置」や「自動削除機能の無効化(OFF設定)」は、デューデリジェンスやPMI(合併後の統合)の段階で検討しておくべきリスクでした。
第3章:2つの構造的欠陥―なぜ「消し忘れ」が起きるのか
技術的に削除ができないわけではありません。多くの場合、問題は「社内政治」にあります。各部門が「データを消したくない理由」を主張し、安全策として「全残し」が選択される構造です。
🚫 削除を阻む「部門の言い分」
- 💻 情報システム部
- 「間違って消したら復旧困難。責任を取りたくないから、デフォルトで保管しておきたい」
- 👥 人事部
- 「前任者のデータや、退職者からの問い合わせ対応で過去の記録が必要になる」
- ⚖️ 法務・経理部
- 「将来の訴訟や税務調査で、古い証拠資料が必要になるかもしれない」
結果:保守的判断で「削除設定しない」が組織の均衡点になる。
しかし、GDPR圏内ではこの「保守的判断」こそが最大のリスクとなります。「削除しないこと」自体が、不作為による違法行為とみなされるからです。
第4章:訴訟・制裁リスクの現実―「消し忘れ」の代償
英国情報コミッショナー(ICO)は、保持期限に対する違反を厳しく取り締まっています。過去の事例を見れば、そのリスクは明白です。
また、被害者側からの集団訴訟においても、「ルール通りに削除されていれば、そもそも流出は起きなかった」という主張は極めて強力です。セキュリティ侵害は「完璧な防御は不可能」と反論できますが、保持義務違反は「消すべきを消さなかった」という明白な過失となるからです。
第5章:打開策―法務主導による「Retention実装」ロードマップ
企業がとるべき戦略は、「恐怖」を「正当性」で上書きすることです。データを消すことは、証拠隠滅ではなく、会社を守るための正当防衛(Defensible Disposal)です。
📌 Phase 1: 経営層へのロジック転換
「コスト削減のために整理しましょう」では誰も動きません。CFOやCIOに対し、以下のロジックで説得します。
「万が一の訴訟時、不要なデータが残っていると『なぜ消さなかったのか(Negligence)』を問われ、不利になります。『規定通りに自動で消えた』と証明できる状態こそが、法的リスクを最小化する最強の盾です」
📌 Phase 2: 「ブレーキ」の整備(Legal Hold)
現場の「勝手に消えたら困る」という不安を解消するために、Legal Hold(訴訟ホールド)の仕組みを導入します。
- 平時:ポリシーに従って自動削除される。
- 有事:ボタン一つで特定対象の削除を即時凍結する。
この仕組みがあるからこそ、平時の自動削除を安心してONにできるのです。
📌 Phase 3: 「無害な情報」から捨てる
まずは「退職者データ」から着手することを推奨します。英国雇用法・税法上の保持義務(退職後6年など)を過ぎたデータは、業務上の必要性がほぼありません。「退職者のデータを自動削除しても業務は回る」という実績を作り、それをテコに経理データや顧客データへと範囲を広げていきます。
今すぐ確認すべき3つの質問
あなたの会社は、以下の質問に即答できますか?もしできないなら、あなたの組織はGDPRのリスクにさらされています。
- 退職後7年を超える元社員のデータが、今この瞬間、どこに何件存在するか把握しているか?
- Retention Policy(保持期間)の自動削除設定は「有効(ON)」になっているか?
- 買収した旧子会社のサーバーやバックアップテープの棚卸しは完了しているか?
-
質問: GDPRにおける適切なデータ保持期間(Retention Period)はどれくらいですか? 回答: 一律の規定はありませんが、「収集目的の達成に必要な期間」を超えてはいけません。例えば、英国の退職者データであれば、雇用法や税法の時効を考慮し「退職後6〜7年」とするのが一般的です。これを超えて保持する場合、正当な理由の証明責任が生じます。
-
質問: 日本企業が海外子会社のデータ削除を指示するのは法的リスクがありますか? 回答: むしろ「削除指示をしないこと」がリスクです。親会社にはグループ全体のガバナンス責任があります。GDPR準拠のために不要データを削除させることは、証拠隠滅ではなく、コンプライアンス遵守(Storage Limitation)のための適法な措置です。
-
質問: バックアップデータも削除対象になりますか? 回答: 原則として対象です。本番環境から削除しても、バックアップに残っていれば漏えいリスクは消えません。技術的に即時削除が困難な場合は、「復元不可能にする」または「アクセス制限を厳格化し、次回サイクルで上書きする」プロセスを文書化する必要があります。
-
質問: 「Legal Hold(訴訟ホールド)」とは何ですか? 回答: 訴訟や調査が予想される際、関連データの自動削除を一時停止する措置です。この仕組みを導入することで、平時は安心して「自動削除(Auto-deletion)」を運用でき、有事の際のみ証拠保全を行うという、メリハリのある運用が可能になります。