解説! GDPRの概要3 (忘れられる権利)(弁護士 山村真登の法律コラム)
ガジェット通信 / 2019年9月15日 13時0分
今回は『弁護士 山村真登の法律コラム』からご寄稿いただきました。
解説! GDPRの概要3 (忘れられる権利)(弁護士 山村真登の法律コラム)
今回はGDPR第17条に規定された消去の権利(right to erasure) 及び忘れられる権利(right to be forgotten)について解説します。
・GDPRの高額な制裁金,広い地理的適用範囲についてはこちら
「解説! GDPR(一般データ保護規則)の概要1」2019年4月23日『弁護士 山村真登の法律コラム』
https://yamamuralaw.com/column/1745/
・GDPRの厳格な同意要件についてはこちら
「解説! GDPR(一般データ保護規則)の概要2」2019年5月7日『弁護士 山村真登の法律コラム』
https://yamamuralaw.com/column/1779/
消去の権利と忘れられる権利
GDPRは,一定の場合にデータ主体が管理者に対して個人データの消去を請求する権利があることを明確にしています。GDPR制定時,いわゆる「忘れられる権利」(right to be forgotten)が明文化されるか,されるとしてどのような権利内容となるのかが注目されていました。結果として,第17条の表題はあくまで「消去の権利」(right to erasure)とされることになりましたが,括弧書きで「忘れられる権利」も付記されています。
そもそも「忘れられる権利」とはどのような権利なのかは議論があるところですが,「忘れられる権利」とまで呼べるものかは別にして,GDPRはデータ主体に対してより強固なコントロール権を保障していると言えます。まずは第17条1項(a)から(d)の規定を見てみましょう。
より強固なデータ消去の権利
GDPR17条1項
1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:
1. 以下の根拠中のいずれかが適用される場合,データ主体は,管理者から,不当に遅滞することなく,自己に関する個人データの消去を得る権利をもち,また,管理者は,不当に遅滞することなく,個人データを消去すべき義務を負う。
(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
(a)その個人データが,それが収集された目的又はその他の取扱いの目的との関係で,必要のないものとなっている場合。
(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;
(b) そのデータ主体が,第6 条第1 項(a)又は第9 条第2 項(a) に従ってその取扱いの根拠である同意を撤回し,かつ,その取扱いのための法的根拠が他に存在しない場合。
(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);
(c) そのデータ主体が,第21条第1項によって取扱いに対する異議を述べ,かつ,その取扱いのための優先する法的根拠が存在しない場合,又は,第21 条第2 項によって異議を述べた場合。
(d) the personal data have been unlawfully processed;
(d) その個人データが違法に取扱われた場合。
GDPRは,一定の場合にデータ主体が管理者に対して個人データの消去を請求する権利を有し,この場合管理者は遅滞なく個人データを削除すべき義務を負う旨規定します。このような規定自体は現在では珍しいものではありません。GDPRの前身であるEUデータ保護指令でも同趣旨の規定がありましたし,日本の個人情報保護法においても,2015年(平成27年)の改正によって,同様の請求権が個人の権利であることが明文化されています(同法第30条1項)。
日本法との比較
しかしながら,GDPRに関して注目すべきはその範囲です。日本の個人情報保護法では,(1) 利用目的内での利用を定める第16条に違反して取り扱われている場合,(2) 適正な取得を定める第17条に違反して取得された場合に個人データの利用停止ないし消去を請求することができるとされています。しかし,一旦同意の下で適法に取得されたデータについては,たとえ後にデータ主体が翻意して消去を求めたとしても管理者が消去に応じなければならない義務は規定されていません。特定された利用目的外の利用がない場合も同様です。
他方,前回コラムでも触れましたが,GDPRでは,かなり厳格な同意要件が法定されています。一旦はデータ取扱いに同意していたとしても,データ主体はいつでも管理者に対する同意を撤回することができます(GDPR第7条(3))。また,データを撤回し得ることについて,管理者は同意を得る前にデータ主体に説明しなければなりません。このような個人の自己のデータに対するコントロール権を強化する流れを汲み,本条では,データ主体が同意を撤回した場合,管理者に対してデータの消去を求めることができる旨定められました。
また,データ取得の目的との関係でもはやデータが必要なくなった場合には,たとえ目的外の利用がなかったとしても,データ消去を請求できます。つまり,GDPRでは,目的の範囲内か否かという観点だけではなく,データが管理者にとって必要かという点も問われることになります。管理者によるデータ保有を必要最小限に止めようとする厳しい規定です。
このようなデータ消去の権利の観点からも,GDPRは自己データに対する個人のコントロール権をより強固に保障しているものと評価することができます。とはいえ,17条1項はいわゆる「忘れられる権利」それ自体を定めらものとは理解されていません。「忘れられる権利」と主に関連性があるのは17条2項です。
忘れられる権利とは?
グーグルスペイン対ゴンザレス事件
新しい議論であることもあり,忘れられる権利の内容は論者により様々で,定説と呼べるものがないのが現状です。一般的には,プライバシー情報が含まれている検索エンジンの検索結果やオンライン上の古いニュース記事に対して削除を求めるという文脈で議論されることが多いと思います。これは,欧州司法裁判所による2014年5月13日の決定(Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González (グーグルスペイン対ゴンザレス))が忘れられる権利の議論に大きく影響を与えているからです。
この事件では,スペイン国籍のゴンザレス氏の名前をグーグルで検索すると,社会保障料金の未払いを原因とする同氏に対する不動産差押競売手続に関する1998年のオンライン記事へのリンクが表示されることについての是非が問われました。
同決定は,検索結果の削除の是非については,インターネットや検索エンジンを利用して当該情報へアクセルしようとするユーザーとデータ主体の基本的権利を衡量して決定されるべきもので,検索エンジンのオペレーターの経済的利益のみで正当化されるものではないとした上で,当初は適法なデータ処理であっても,個人情報が開示された時の目的,事件の状況に照らせば,一定期間が経過した後で,関連性が薄くなったり,過剰な情報を提供すると判断されることを理由として個人情報保護法に抵触する可能性があると指摘しています。
どのような場合に検索エンジンの検索結果や個人情報を含む記事の削除を求めることができるのかについては,個別具体的な比較衡量が必要となるため,現時点では明文化は難しく,今後の判例の集積を待つほかありません。しかし,GDPRでは,以下の通り,「忘れられる権利」と関連した権利を規定しています。
GDPR17条2項
2.Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.
2.管理者が個人データを公開のものとしており,かつ,第1項によって,その個人データを消去すべき義務を負っている場合,その管理者は,利用可能な技術及びその実装費用を考慮に入れた上で,技術的な手段を含め,その個人データを取扱いしている管理者に対して,そのデータ主体が,そのデータ主体の個人データへのリンク又はそのコピー若しくは複製物が,その管理者によって消去されることを要求した旨の通知をするための合理的な手立てを講ずる。
すなわち,同意の撤回や必要性の欠如等の理由で管理者が個人データの消去に応じなければならない場合,当該管理者は,当該データ主体の個人データへのリンクや複製物を有している他の管理者に対しても通知を行うための合理的な手段を講じなければならないと規定します。他の管理者に対する消去請求も容易にするもので,個人の忘れられる権利にも配慮したものと考えることができます。
他方,欧州司法裁判所の決定が示す通り,忘れられる権利とは表現・報道の自由ないし知る権利等の他の基本的人権と鋭く対立することになります。そこで,GDPR上,17条の各権利が表現の自由と抵触する場合には,その範囲内で適用されないことが確認されています(17条3項(a))。
まとめ
今後,このような規定に関する事件を中心として判例が集積されていくと予想されます。個人のプライバシーの権利と表現・報道の自由の適正なバランスを保つことは,インターネットが発達した情報化社会において避けがたい問題です。今後の欧州の議論が日本においても非常に参考になるのではないかと思われます。
(文責:山村真登)
執筆: この記事は『弁護士 山村真登の法律コラム』からご寄稿いただきました。
寄稿いただいた記事は2019年9月14日時点のものです。
―― やわらかニュースサイト 『ガジェット通信(GetNews)』この記事に関連するニュース
-
個人情報の国外移転に関する規則の改正発表(サウジアラビア)
ジェトロ・ビジネス短信 / 2024年9月6日 14時15分
-
サブカル雑学系オルタナティブサイト「サバミリマップ」でぞっとする怪談・奇談作品を募集!「奇妙な話を聞かせ続けて・・・」
@Press / 2024年9月2日 9時30分
-
FIND NEW SPACE - ブランド成長とイノベーションを生み出す モーメント戦略ウェビナーのご案内
共同通信PRワイヤー / 2024年8月28日 11時0分
-
国産シェアNo.1 CMP「webtru」、Google同意モードに対応
PR TIMES / 2024年8月27日 16時15分
-
気に食わない芸能人にSNSで誹謗中傷したら休業に…でも「表現の自由」があるから私は守られますよね?【弁護士の回答】
THE GOLD ONLINE(ゴールドオンライン) / 2024年8月27日 6時15分
ランキング
-
1そろそろ買い!? 折りたたんだままで何でもできる「motorola razr 50」
&GP / 2024年9月18日 22時0分
-
2メッシュWi-Fiで日本参入のAmazon、eeroの創業CEOの熱意がすごい
ASCII.jp / 2024年9月19日 6時0分
-
3「iPhone 16」がiPhone新時代の幕を開く 試して分かった大きな違い
ITmedia PC USER / 2024年9月18日 23時0分
-
4吉本芸人「命の恩人を探してます!」 “ぶっ倒れてた僕”を救ってくれた女性へ感謝の投稿拡散「世の中捨てたもんじゃない」
ねとらぼ / 2024年9月18日 18時4分
-
5冷蔵庫に「カーテン」はつけない方が良い?! 知っておいて損はない「冷蔵庫の効果的な節電方法」7選
Fav-Log by ITmedia / 2024年9月18日 6時50分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください