GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(34)-訂正・消去・処理制限請求権

 

今回は訂正請求権・消去請求権(忘れられる権利)・処理制限請求権に関し解説します。

 

 

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 訂正請求権とは?

Q2: 消去請求権(忘れられる権利)とは?

Q3: 管理者が公開した個人データについて消去請求権を行使された場合は?

Q4: 管理者が消去請求権への対応を拒否できる場合は?

Q5: Google検索に関し消去請求権(忘れられる権利) が争われた事件とは?

Q6: 処理制限請求権とは?

 

 

Q1: 訂正請求権とは?

A1: 訂正請求権(Right to rectification)とは, データ主体が自己の個人データを訂正すべきことを管理者に請求できる権利のことで, その具体的な内容は以下の通りです(16)(数字はGDPRの条文番号。以下同じ)

(a)自己に関する不正確な(inaccurate)個人データを, 不当に遅滞することなく(without undue delay), 訂正(rectification)させる権利。

(b)処理目的を考慮した上(taking into account the purposes of the processing), 不完全な(incomplete)個人データを補足情報(supplementary statement)の提供等により完全なものとさせる(have incomplete personal data completed)権利。

 

Q2: 消去請求権(忘れられる権利)とは?

A2: 消去請求権(忘れられる権利)(Right to erasure:Right to be forgotten)とは, 一定の場合, データ主体が管理者に対し自己の個人データを消去させることができる権利を意味します(17(1))。

消去請求権を行使できる一定の場合とは, 以下のいずれか場合です。この場合, 管理者は, 当該個人データを不当な遅滞なく(without undue delay)消去(erasure)しなければなりません。

(a)個人データが取得またはその他の処理の目的との関係で必要でなくなった場合

(b)処理がデータ主体の同意(6(1)(a), 9(2)(a))に基づき行われている場合に, データ主体が当該同意を撤回(withdraw), し, かつ, 当該処理について他の法的根拠がないとき。

(c)データ主体が, (i) 処理禁止権(異議申立権)(21)を行使し, かつ, (ii) 当該処理を継続するための「やむをえない正当な根拠」(overriding legitimate grounds)がない場合。-  但し, ダイレクトマーケティング目的の処理禁止権については(ii)の要件は不要。

(d)個人データが違法に処理された場合。- [個人データの内容が時の経過により, データの正確性・最新性・最小化, 保存制限等の第5条の処理の基本原則違反となっている場合もこの(d)または次の(e)に該当すると思われる。後述Google忘れられる権利CJEU先決裁定参照]

(e)管理者がEUまたは加盟国の法令上個人データを消去する義務を負う場合。

(f)子供の個人データが情報社会サービス(オンラインサービス)の提供に関連して取得された場合(8(1))。

一般の企業が, 個人データの処理の適法性の根拠とする事由としては, データ主体の同意(同意撤回可能)または管理者の正当利益(処理禁止可能)が多いと考えられますが, これらは上記(b),(c)により消去権の対象となり得ます。従って, データ主体としては, 上記(a),(d),(e), (f)の場合も合わせ, 実質上ほとんどの場合, 企業に個人データを消去させることができると言えます。

 

Q3: 管理者が公開した個人データについて消去請求権を行使された場合は?

A3:管理者は, 以下(1)の条件を満たす場合, 以下の(2)の通り, 管理者が公開した個人データを転載した他の管理者にデータ主体からの消去請求を通知するための措置を講じなければなりません

(1)管理者が義務を負う条件

– 以下(i)~(iii)が全てが当てはまることです。

(i)当該管理者(以下「公開管理者」という)がその個人データを公開した(has made the personal data public)ため他の管理者(以下「転載管理者」という)もその処理をしていること。

(ii)公開管理者が上記Q2(17(1))により当該個人データの消去義務を負うこと

(iii)データ主体が, 転載管理者についてもその個人データへのリンクまたは当該個人データのコピーもしくは複製を消去すべきことを公開管理者に求めたこと

(2) 義務内容

公開管理者は, 上記(iii)の旨を転載管理者に通知するため, 利用可能な技術および実施費用を考慮した上で合理的な手段(技術的措置を含む)をとらなければならない(shall take reasonable steps)(17(2))。

(上記義務の解釈)上記義務の内容は分かりにくいですが(上記も著者による意訳), 次のように言えると思います。

(a)公開管理者は, 転載管理者に対してデータ主体の要求を通知する義務を負うが, その要求に従わせる法的義務までは負わない(規定されていない)。

(b)通知の対象者・方法等は, 「利用可能な技術および実施費用を考慮した上で合理的な」範囲であればよい。従って, 公開された個人データの転載・リンク等をしている者全て(それを勝手に行っている者を含む)に対し, あらゆる手段・費用を用いて通知しなければならないということではない。

例えば, 検索エンジン等を使い転載サイトを探し, 合理的手段・費用の範囲内で, 転載サイト運営者への連絡方法の情報を入手し電子メール等でデータ主体の転載削除要求を通知すれば17条2項の義務を履行したことになるであろう。

(c)転載管理者は, EU域内にある等GDPRの適用を受ける場合には, この通知を受けることにより, 次のような結果になり, 以後, その個人データを保存・処理できなくなり, 結局, 消去せざるを得ないものと思われる。

a)転載管理者が, データ主体が公開管理者に与えた同意の範囲で処理している場合 –  データ主体の要求はこの同意が撤回されたことを意味するから, 以後保存・処理できなくなる。

b)転載管理者が, 自己の正当利益(6(1)(f))を適法性の根拠として処理している場合 –  転載管理者の正当利益よりデータ主体の利益(消去を希望する意思)を優先させるべき(override)場合に該当し, 以後保存・処理できなくなる。

(d)公開管理者から転載管理者への通知の内容(宛先等を含む)を, データ主体が知る権利は特に規定されていない。しかし, その通知自体が当該データ主体に関する情報であるからその個人データに該当する(4(1))。従って, データ主体は, 公開管理者に対し, GDPR第15条のアクセス権(第3項のコピー請求権を含む)を行使して, 当該通知の宛先, すなわち転載管理者への連絡に必要な情報を知ることができる。

従って, これにより, データ主体は, 転載管理者にも17条1項の消去請求権を自ら直接行使できる。但し, これは, 転載管理者がEU域内にある等, GDPRの直接適用を受ける場合に限る。

(e)公開管理者から当該個人データの開示を受けた処理者または共同管理者は, それぞれ「受領者」(recipient)(4(9))に該当する。

従って, 公開管理者は, GDPR第19条(後で説明)に従い, これら処理者または共同管理者に, 当該個人データの消去を通知(および指示)し, また, データ主体の要求があった場合, これら処理者または共同管理者に関する情報を提供しなければならない。

以上より, 例えば, WebサイトやSNS上で, 他人の個人データを公開した者(公開管理者)は、 データ主体から要求があった場合, その個人データを自分のWebサイトやSNSに転載した他人(転載管理者)を見つける努力をし, その結果, その他人が見つかり連絡方法も分かった場合には, その他人に, データ主体がその転載された個人データの消去も求めていることを伝えなければならず, その結果, 少なくともその他人がEU域内にいる限り, その他人もその転載という(個人データの)処理の適法性の根拠(GDPR第6条・第9条)を失い, 自ら消去の義務を負うことになるということだと思われます。おそらく、これが、GDPR第17条のタイトルの括弧書きに「忘れられる権利」(Right to be forgotten)とある理由と思われます。

 

Q4: 管理者が消去請求権への対応を拒否できる場合は?

A4: 上記の消去義務(17(1))および転載管理者への通知義務(17(2))は, いずれも, 消去等を要求された個人データの処理が, 以下のいずれかのために必要な場合は課されません(17(3))。従って, この場合, 管理者は, 消去請求権への対応を拒否できます

(a)[管理者の]表現または知る権利(the right of freedom of expression and information)の行使に必要な場合。[特に管理者が報道機関である場合が該当すると思われる。]

(b)管理者のEUまたは加盟国の法令上の義務遵守のため, または, 公的機関の権限行使または管理者に与えられた公的任務遂行に必要な場合。

(c)公衆衛生上の公益のため必要な場合(9(2)(h),(i), 9(3))。

(d)公益目的, 科学的もしくは歴史的研究目的または統計目的の達成のために処理が必要な場合(89(1))であって, 消去によりこれら目的の達成が不可能または著しく損なわれる(seriously impair)場合。

(e) [管理者の]法的権利の立証, 行使または防御 (the establishment, exercise or defence of legal claims) に必要な場合

 

Q5: Google検索に関し消去請求権(忘れられる権利) が争われた事件とは?

A5: EU司法裁判所(CJEU)が, Google検索に関し判断した事件で, 2014と2019年のものがあります

 【2014年CJEU先決裁定】 [1]

1. 事件の背景

GDPR第17条のタイトルの括弧書きの「忘れられる権利」(Right to be forgotten)は, GDPRの前身のデータ保護指令の時代から, インターネット上にある個人情報を検索エンジンによる検索結果から消去することを検索事業者に請求する権利として議論されてきました

2. EU司法裁判所の先決裁定

この意味での「忘れられる権利」については, 最初に, 保護指令の下で, 2014年にEU司法裁判所(CJEU)が, Google検索に関する先決裁定でこれを認める判断をしました。

この判断はGDPRでも妥当します。GDPRでは消去を請求できる場合が保護指令(指令違反の処理がされた場合に限定:12(b))より大幅に拡大されているので, より多くのケースで検索結果からの消去が認められると思われます。

3. 事件の経緯

1998年, あるスペイン人(Mario Costeja González)所有の不動産が競売され, ある新聞社が法令に従い競売の公告を自社新聞および後にWebページに掲載した。Marioは, 競売後10年以上経過しても, 自分の氏名を入力しGoogle検索を行うとこのWebページが表示されるため, 新聞社に対するWebページ消去ならびにGoogle Spain SL(以下「Googleスペイン」という)および米Google Inc(以下「米Google」という)に対する検索結果からの消去を求め, スペインのデータ保護機関(AEPD)に申立をした。同機関は新聞社に対する請求は棄却したが, Google側に対する請求は認めた。

これに対しGoogle側はAudiencia Nacional (National High Court of Spain)に控訴したが, Google検索が保護指令上の個人データの「処理」に該当するか否か等に関しCJEUの先決裁定が求められた。

なお, 保護指令における「処理」および「管理者」の定義はGDPRとほぼ同じである。

4.CJEUの判断

Google検索はインターネット上の情報を発見し, それに索引を付け, 一時的に保存し, 最終的にユーザに提供するもので, データ保護指令上個人データの「処理」(2(b))に該当する。そのような検索エンジンの運営者である米Googleは保護指令上「管理者」(2(d))に該当する。従って, 米Googleは, 保護指令上の消去請求権の要件が満たされる限り, Marioの氏名を入力した検索結果から当該Webページへのリンクの消去に応じる義務がある

データ保護指令第12条(b)は, データ主体に対し, その処理が保護指令に反する個人データの訂正, 消去または処理停止を管理者に要求する権利(12(b))を保障している。

個人データの処理が当初は適法かつ正確であっても, その個人データの処理が, 保護指令第6条に定めるデータ最小化・正確性・最新性・保存期間の制限(6(1)(c)~(e))から, 時の経過により, 当初の取得・処理目的から見て不要となった場合(特に, この目的から見て不適切, 無関係または過剰となった場合)には, 保護指令違反に該当する(決定文93)。

従って, Marioの要求は, 保護指令上の消去請求権の要件を満たし, 米Googleは, Marioの氏名を入力した検索結果として表示される新聞社Webページへのリンクを消去する義務がある

【2019年CJEU先決裁定】 [2]

1.事件の背景

上記の2014年のCJEU先決裁定後, フランスの監督機関CNILは, Googleに対し, 忘れられる権利が行使された個人データが, EU各加盟国版のGoogleサイト(ドメイン) [例:google.co.uk, google.fr, google.de)だけでなく世界中のGoogleサイト(例:米のgoogle.com)からの検索結果としても表示されないようにすることを命じた

これに対し, Googleは, “geo-blocking”という技術手段により, EU加盟国のユーザがEU各加盟国版以外のGoogleサイト(例:google.com)を使い検索したとしても, ユーザのIPアドレス(国ごと)に基づき自動的にEU各加盟国版のGoogleサイトにredirectして, その個人データが表示されないようにした。しかし, EU各加盟国以外(例:米国)のユーザは表示させることは可能であった。CNILはこれを命令違反として制裁金を課した。

2.CJEUの判断

データ保護指令(12(b))およびGDPR(17(1))上, Googleは, EU各加盟国版のGoogleサイトからの検索結果から問題の個人データの表示を防止(de-referencing)すれば足り, 世界中の全てのGoogleサイトからの検索結果についてこれを行う義務はない(先決裁定文73)。

 

Q6: 処理制限請求権とは?

A6: 処理制限請求権(Right to restriction of processing)とは, データ主体が, 次に掲げるいずれかの場合, 管理者に対し自己の個人データの「処理の制限」(restriction of processing)を請求できる権利を意味します(18(1))。

(a)データ主体が当該個人データの正確性を争っている(contest)場合この場合, 管理者はその正確性を確認するのに必要な期間中その[保存以外の]処理を行ってはならない

(b)管理者による処理が違法(unlawful)だが, データ主体が当該個人データの消去ではなくその利用の制限を請求している場合。

(c)管理者は自身の処理目的のためには当該個人データをもはや必要としないが, データ主体がその法的権利の立証・行使・防御のため管理者による保存および処理を必要とする場合。

(a)データ主体が管理者による処理に対し処理禁止権(異議申立権)を行使し(21(1)), これに対し, 管理者が, その処理を継続する「やむをえない正当な根拠」(overriding legitimate grounds)があると争っている場合

【処理の制限の意味】

「処理の制限」(restriction of processing)とは, 「保存されている個人データをマーキングし(marking)今後の[保存以外の]処理を制限すること」を意味します(4(3))。

【処理制限請求の効果】

データ主体からの請求により処理が制限された場合, 当該個人データは, 保存以外の処理を禁止される。

但し, 次のいずれかの場合を除く(18(2))。

(a)データ主体の同意がある場合

(b)データ主体の法的権利の立証・行使・防御のため必要な場合

(c)データ主体以外の個人または法人の権利を保護するために必要な場合

(d)EU もしくは加盟国の重要な公益のため必要な場合

【処理制限解除の事前通知】

管理者は, 処理の制限を解除する前に, 当該データ主体にその旨通知しなければならない(18(3))。

 

今回はここまでです。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

【筆者の最近の個人情報保護関連書籍】

NEW!! GDPR新SCC最終版公表について(概要と全訳)」 2021/06/11

LINE事件と中国におけるガバメントアクセス規定」2021/04/26

改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

GDPR関連資格CIPP/E準拠 詳説GDPR  (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR  (下) – GDPRとCookie規制」 2019年11月

[3]

 

【注】

                             

[1] Google検索「忘れられる権利」CJEU先決裁定】 Google Spain SL, Google Inc. v Agencia Española de Protección de Datos (AEPD), Mario Costeja González (2014)

[2] 【忘れられる権利の地理的範囲:2019年9月24日CJEU先決裁定】 Case C‑507/17,(判決本文)   (解説) TLT LLP – Emma Erskine-Fox “Google wins CJEU right to be forgotten case“, September 25, 2019, Lexology

[3]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄  (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP  (International Association of Privacy Professionals) 会員,CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 【インタビュー】法務担当の仕事内容と仕事の学び方(前編)2019年8月19日 【インタビュー】法務担当の仕事内容と仕事の学び方(前編) 記事広告:『終身雇用終焉後の法務キャリア』 法務部ひとすじ40年 多様なジャンルの5つの会社を渡り歩いた、企業法務のスペシャリスト、浅井敏雄さんにお話を伺いました。 自動車→コンピューターメーカー→地図→ファッションブランド→IT企業と、転々としつつも、一貫として法務部に所属してきた浅井さんは、会社から系統的な法務教育をほとんど受けずにキャリアを重ねてきた […]
  • 2020年12月15日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制 (22) – 同意   今回から、処理の適法性の根拠の内「同意」について解説していきます。     【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: GDPR上の「同意」の位置づけは? Q2: GDPR上の「同意」の要件は? Q3: 不適切な「同意」の例は? Q4: […]
  • 2020年1月15日 終身雇用制度の終焉と『法務キャリア』の歩み方 戦後日本で多くの企業が採用してきた終身雇用制度が終わりを迎えようとしています。その結果、「業績が安定していて働きやすそうな会社に入社し、留まり、定年する」という従来のキャリアプランが実現しにくい社会が今まさに訪れようとしています。 このような時代の変化は、法務担当者のキャリアにどのような影響を与えるのか。そして、新しい時代を生きる上で法務担当者に必要なことは何なのか。 本 […]
  • 2021年1月1日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制 (23) – 同意ガイドライン(1)   今回から、GDPR上の処理の適法性の根拠の一つである「同意」に関しWP29[1](現在のEDPB[2]の前身である監督機関の連合体)が2018年4月10日に採択した"Guidelines on Consent under Regulation"[3] […]
  • 2021年1月15日 「Q&Aで学ぶ英文契約書の基礎」第40回 – 保証(Warranty)条項(1):条項例   前回、「米国統一商事法典」(UCC)上の保証関連規定について解説しました。今回は、そのUCCの規定を前提とした具体的な保証(Warranty)条項を以下に示します(解説は次回以降)。 以下の保証条項は、コンピュータとその周辺機器(Equipment)、ソフトウェア(Software)およびそれらに関連したサービス(有償保守・サポート等)(Services)の供 […]
to top