>>563
セゾンの具体的な社内運用は当然わからないので一般的な現代における個人情報保護の観点から

まず改正法の内容の方を前提とするが、
個人情報保護法では
「保持する期間を明確に伝える義務、保持する必要がなくなったら速やかに削除する努力義務」があり、
かつ企業が個人情報を漏洩させた場合法律上の義務として本人への連絡をし、
さらに民事での損害賠償、慰謝料の支払いなどの責任を負っていくことになる
無期限ならそれはそれで了承を取る必要がある

ここでクレカ会社が過去の客の個人情報をそのまま無期限保持していると、
いざ個人情報が漏れたときに過去の客全てに連絡しさらに損害賠償、慰謝料支払いするなんてことになりえるので非常にリスクが高く、
長い間業務を続けるほどこのリスクが際限なく肥大化していくことになる

なので、適当なタイミング以降では
個人情報保護法でも触れられてる仮名加工処理をかけてから
ビッグデータwwwという名目の形で保持するなどが必要になってきてる

で、仮名加工なんてその処理の内容知ってる側からすれば高い確率で逆引きできてしまう
(これは某セキュリティ専門家も過去に指摘してる)ので、
大義名分としては仮名加工してますと言っときながら実は高い確率であとから「今回のこの客は過去にいた客か?そいつはどういう使い方してたか?」をだいたい引けてしまう
が、当然100%確定ではなく(100%確定だったらそれは仮名ではないので違法)、
似た属性で似た名前の別人がいると混同されたり、逆に客側の性名や住所などが大きく変わってるとヒットしなくなったりもする

で、過去の客の仮名加工処理された情報と今回申し込んできた客情報の一致性が高いと判断された場合、
リスク査定作業である入会審査ではそれを考慮に織り込むことが許されるが、
では過去の客が持ってたポイントなどの資産を今回の客に付け替えていいのか?というと
これは今度は100%確定一致でない限りはやるとマズイことになる
万が一別人だったらクレカ会社が勝手に別人のアカウントの間で資産の違法な付替えをしたということにもなりかねない

繰り返すが上記の話は現代の個人情報保護における一般論
もっと固く運用してるところも、中身はザル運用のところもある