GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制(35)-異議申立権/自動意思決定に服さない権利

 

今回は, ①異議申立権, および, ②自動意思決定に服さない権利に関し解説します。

  

【目  次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 異議申立権とは?

Q2: 正当利益等に基づく処理に対する異議申立権とは?

Q3: ダイレクトマーケティング目的での処理に対する異議申立権とは?

Q4: 科学歴史研究・統計目的の処理に対する異議申立権とは?

Q5: 異議申立権の通知・行使方法は?

Q6:自動意思決定に服さない権利とは?

Q7:自動意思決定に服さない権利を拒否できる場合は?

Q1: 異議申立権とは?

A1: 異議申立権(Right to object)とは, データ主体が, 所定の場合, 管理者による自己の個人データの処理に反対する権利(the right to object)を意味します(21(1)第一文)。この権利を行使された場合, 管理者は, 以後, 処理の全部または一定目的での処理を禁止されます(shall no longer process/be processed)。従って, 処理禁止権と呼ぶこともできます

異議申立権には, 以下の通り, ①正当利益等に基づく処理に対する異議申立権, ②ダイレクトマーケティング目的での処理に対する異議申立権, および, ③科学歴史研究・統計目的の処理に対する異議申立権があります。

 

Q2: 正当利益等に基づく処理に対する異議申立権とは?

A2:個人データの処理が以下の(a)または(b)いずれかを処理の適法性の根拠として行われる(または既に行われている)場合の異議申立権です。

(a)処理が, 公的機関の権限行使または管理者に与えられた公的任務遂行に必要なこと(6(1)(e))

(b)管理者または第三者の正当利益(legitimate interests)のため処理が必要なこと(6(1)(f))

データ主体は, いつでも(at any time)(*1), データ主体の個別事情に基づき(on grounds relating to his or her particular situation)(*2), 当該処理を禁止する権利(the right to object)を有します(21(1)第一文)。

この異議申立権が行使された場合, 管理者は, 以後, 当該個人データの処理をしてはなりません(shall no longer process the personal data)。

【例外:処理を継続してよい場合】上記にかかわらず, 管理者が, 処理が以下の(i)または(ii)いずれかの処理であって, その処理を行う「やむをえない正当な根拠」(compelling legitimate grounds)を説明・証明(demonstrates)した場合はその処理を継続してもよいとされています(21(1)第二文)。

(i) データ主体の利益・権利・自由より優先すべき(override)処理

(ii) 法的権利の立証・行使・防御のため行われる処理

【同意拒否または同意撤回による処理禁止との関係】処理がデータ主体の同意を処理の適法性の根拠として行われる場合(6(1)(f))は, データ主体は, 同意を拒否するか, または, 一旦同意した後でもその同意を撤回(7(2))することにより, 事前または事後に処理を禁止できます。

これに対し, 正当利益等に基づく処理に対する異議申立権は, 処理が上記(a)の公的機関の権限行使等の必要性または(b)の管理者等の正当利益(以下「正当利益等」と総称する)を適法性の根拠として行われる(または既に行われている)場合に適用され, データ主体は, これにより, 事前または事後に当該処理を禁止することができます。

すなわち, 正当利益等に基づく処理に対する異議申立権と, 同意拒否または同意撤回による処理禁止とは, どちらも以後の処理を禁止できるという点では共通しますが, それぞれが適用される, 処理の適法性の根拠が異なるということになります。

【上記(*1)「いつでも」の意味】管理者は, 個人データをデータ主体から (i) 直接取得する場合はその取得時点で(13(1)), (ii) 間接取得した場合は取得から遅くとも1か月以内に(14(3)), データ主体に提供すべき情報の一つとして, 異議申立権についてデータ主体に情報提供しなければなりません(13(2)(b), 14(2)(b))。そして, データ主体は, 上記(*1)の通り「いつでも」異議申立権を行使できます。

従って, データ主体は, 当初から, すなわち, 直接取得の場合はその取得時点, 間接取得の場合は遅くとも間接取得から1か月以内の上記情報提供を受けた時点で, 管理者による処理を禁止し, または, 管理者が既に処理を継続中であっても以後の処理を禁止することができます。また, その後も, 「いつでも」, この異議申立権を行使できることになります。

【上記(*2)「データ主体の個別事情に基づき」の具体的意味】上記(*2)については前文でも具体的説明はありません。しかし, 英国の監督機関ICOの異議申立権に関する解説[1]中に次の要旨の説明があります。

・データ主体は, 第21条1項の異議申立権を行使する場合, 自己の「個別の事情」(particular situation)に基づいた具体的理由を示さなければならない。この異議申立権は, 絶対的権利ではなく, 管理者は, データ主体の利益・権利・自由に優先する(override)「やむを得ない正当な根拠」(compelling legitimate grounds)を示せば処理禁止を拒絶できる。

・この「やむを得ない正当な根拠」の有無は, データ主体の処理禁止請求理由を考慮し, 管理者の正当利益等とデータ主体の利益・権利・自由とを比較衡量して判断しなければならない。特に, 処理がデータ主体に苦痛(distress), 経済的損害等を生じさせるというような理由は重視しなければならない。

・管理者は, 管理者の正当利益等がデータ主体の処理禁止請求理由に優先することを説明・証明(demonstrate)できなければ, 処理禁止を拒絶できない。

以上から, この正当利益に基づく処理に対する異議申立権については, 管理者の個人データの処理をする正当利益とデータ主体側が申立てる処理を止めてもらいたい事情とが比較衡量され, 管理者の正当利益の方を優先すべき場合には, 処理の継続が許されるということになります。

しかしながら, 管理者は, この処理禁止請求を拒絶するには, 「やむをえない正当な根拠」をデータ主体に説明・証明できなければなりません。また, これを拒絶しデータ主体が苦情申立(77(1)), 差止訴訟等(82)等をした場合には監督機関, 裁判所等にも同様に証明しなければなりません。従って, 実際に拒絶することは相当にハードルが高いと思われます。

【正当利益等に基づく処理に対する異議申立権行使の効果】この異議申立権が認められる場合, 管理者は, 以後, 当該個人データの処理をしてはなりません(21(1)第二文)。従って, この異議申立権行使の効果としては, 保存を含め, 当該個人データの処理全部が禁止され, 管理者はこれを消去しなければならないものと思われます(この点次のダイレクトマーケティング目的での処理に対する異議申立権と異なる)。

 

Q3: ダイレクトマーケティング目的での処理に対する異議申立権とは?

A3: 個人データがダイレクトマーケティング目的で処理(同目的のプロファイリングを含む)される場合の異議申立権で, データ主体は, いつでも, その処理を禁止する権利を有します(21(2))。

この異議申立権については, 上記Q2の正当利益等に基づく処理に対する異議申立権のようにその行使について条件・制限はありません。

【「ダイレクトマーケティング」の定義】GDPR上, この「ダイレクトマーケティング」の定義はなく前文にも説明はありません。

しかし, 英国の「2018年データ保護法」(Data Protection Act 2018)[2]の第122条5項の定義によれば, 「特定の個人を対象とする広告・マーケティング情報の提供(その手段の如何を問わない)」(the communication (by whatever means) of advertising or marketing material)を意味します(単なるWebサイト上の広告等は含まない)。

【ダイレクトマーケティング目的で処理に対する異議申立権行使の効果】データ主体がこの異議申立権を行使した場合, 管理者は, 以後, 当該個人データをダイレクトマーケティング目的では処理することができません(21(3))。すなわち, この異議申立権行使の効果としては, ダイレクトマーケティング目的での処理のみが禁止され, 他の目的(例:商品注文に関する連絡等)での処理は禁止されません

【正当利益等に基づく処理に対する異議申立権との関係】しかし, 個人データがダイレクトマーケティング目的で処理される場合は, 処理の適法性の根拠を管理者の正当利益としている場合も多い(他の根拠としては同意も考えられるが)と思われます。そして, 第21条の文言上, このダイレクトマーケティング目的での異議申立権を行使し得る場合に, 正当利益に基づく処理に対する異議申立権の行使が排除されているわけではありません。

従って, 個人データが正当利益を処理の適法性の根拠としてダイレクトマーケティング目的で処理されている場合, データ主体は, ダイレクトマーケティング目的での処理に対する異議申立権ではなく, 正当利益に基づく処理に対する異議申立権の方を選択行使し, 保存を含め, 当該個人データの処理全部を禁止し, 管理者にこれを消去させることもできるものと思われます。

 

Q4: 科学歴史研究・統計目的の処理に対する異議申立権とは?

A4:科学歴史研究・統計目的の処理に対する異議申立権とは, 個人データが, 科学的または歴史的研究または統計の目的で, 第89条第1項(データ最小化・仮名化・匿名化等)に従い処理される場合(以下この処理を「科学研究等のための処理」という)の異議申立権で, この場合, データ主体は, その個別の事情に基づき(on grounds relating to his or her particular situation)(*), 自己の個人データの処理を禁止する権利を有します。

但し, 当該研究・統計のための処理が公共の利益のための業務遂行のため(for the performance of a task carried out for reasons of public interest)必要な場合[例えば, 新型コロナウィルスの感染状況の統計のための個人データ処理が考えられる]を除きます(以上21(6))。

上記(*)の意味は上記Q2: 正当利益等に基づく処理に対する異議申立権について述べたのと同様。

【科学歴史研究・統計目的の処理に対する異議申立権行使の効果】データ主体がこの異議申立権を行使した場合の効果については明文の規定はありません。しかし, この場合, データ主体の意思が, 当該個人データの処理全部の禁止ではなく, 科学研究等のための処理の禁止であることは明らかなので, 当該当該研究・統計のための処理だけが禁止されるものと思われます。

 

Q5: 異議申立権の通知・行使方法は?

A5: 正当利益等に基づく処理またはダイレクトマーケティング目的での処理に対する異議申立権に関しては, 次の通り規定されています。

管理者は, データ主体に最初に連絡(communication)する時点までに(*), これらの異議申立権について, データ主体の注意をはっきりと引くよう(be explicitly brought to the attention)かつ他の情報とは明確に分けて(separately)表示(present)しなければならない(21(4))。

上記(*)の時点とは, 具体的には, GDPR第13条または第14条に基づくデータ主体への情報提供の時点(直接取得の場合はその取得時点, 間接取得の場合は遅くとも1か月以内の時点)と思われるので, 両条に基づく情報提供時に, 特に異議申立権だけについて「データ主体の注意をはっきりと引くようかつ他の情報とは明確に区別して」表示しなければならないものと思われます。

なお, 情報社会サービス(ほぼオンラインサービス)において個人データが処理される場合, データ主体は, 技術的な自動手段を通じ(automated means using technical specifications)[例えばWeb上で]異議申立することができます(21(5))。

 

Q6:自動意思決定に服さない権利とは?

A6:データ主体が, プロファイリング(*)を含む個人データの自動的な処理のみに基づく判断・決定(decision based solely on automated processing)であって, 以下の①または②のいずれかに該当するものの対象とされない(not to be subject to)権利です(22(1))。

①自己についての法的効果(legal effects)を生じる

②自己に対し法的効果と同様の重大な影響を及ぼす(similarly significantly affects)。

(*) 「プロファイリング」とは, 個人の業務遂行能力/経済状態/健康/個人的嗜好/興味関心/信頼性/行動/位置/移動の評価(evaluate)または分析・予測(analyse or predict)その他個人に関し一定事項を評価するために個人データを利用して行われる全ての形態の自動処理(automated processing)[主にコンピュータによるデータ処理]を意味します(4(4))。

上記の自動意思決定を, 以下「完全自動意思決定」ともいいます。前文71には, 例として, 与信や採用の完全自動意思決定[すなわちコンピュータのデータ処理だけによる与信の可否・採用不採用の決定]が挙げられています。

従って, 自動意思決定に服さない権利とは, 分かり易く言えば, コンピュータのデータ処理だけによって自分の評価・運命を決められない権利です。

 

Q7:自動意思決定に服さない権利を拒否できる場合は?

A7: 以下のいずれかの場合は, データ主体の意思にかかわらず, 完全自動意思決定を行うことができます(22(2))。

①データ主体と管理者間の契約締結・履行に必要な場合

②EUもしくは加盟国の法令で許されている場合。

③データ主体の明示的(explicit)同意に基づく場合

但し, 上記①または③の場合, 管理者は, データ主体の権利等の保護措置を講じなければなりません(22(3))。

具体的には, 最低限, データ主体に対し, 以下の権利を与えなければなりません

(a)人の介在(human intervention)(すなわち人による再評価)を要求する権利

(b)決定に対する自己の意見(すなわち不利な評価に対する釈明等)を表明する権利

(c)決定を争う(contest)(すなわち不利な評価に対する反論等)権利

【特別カテゴリーの個人データに基づく完全自動意思決定】上記にかかわらず, 「特別カテゴリーの個人データ」(人種等を示す個人データ)に基づく完全自動意思決定は, 次の全ての条件が満たされる場合に限りこれを行うことができ, それ以外の場合は禁止されます(22(4))。

(a)以下のいずれかの場合であること

・データ主体が, 当該個人データが特定・具体的な(specified)目的のために処理されることに対して明白な(explicit consent)同意をした場合(9(2)(a))。

・EUまたは加盟国の法令に基づき, 重要な公益を理由として処理が必要な場合(9(2)(g))。

(b)データ主体の権利・自由および正当利益を保護するための適切な措置が設けられていること

 

今回はここまでです。

 

「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー

【筆者の最近の個人情報保護関連書籍】

NEW!! GDPR新SCC最終版公表について(概要と全訳)」 2021/06/11

LINE事件と中国におけるガバメントアクセス規定」2021/04/26

改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

GDPR関連資格CIPP/E準拠 詳説GDPR  (上) – GDPRとCookie規制」 2019年11月

GDPR関連資格CIPP/E準拠 詳説GDPR  (下) – GDPRとCookie規制」 2019年11月

[3]

 

【注】

                             

[1] 【ICOの処理禁止権に関する解説】 ICOサイト ”Right to object

[2] 【英2018年データ保護法】 条文

[3]

==========

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(*) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

 

【筆者プロフィール】

浅井 敏雄  (あさい としお)

企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP  (International Association of Privacy Professionals) 会員,CIPP/E  (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

 

関連記事

More from my site

  • 2019年5月16日 法務の鉄人(11)『法務担当者と英語力』 記事広告:『終身雇用終焉後の法務キャリア』 法務やコンプライアンスのみならず、現代の社会人にとって、英語のスキルがmustであると言われて久しい。 では、(1)いつまでに、(2)どれくらいの英語のスキルが必要なのだろうか。そして、(3)どうやって勉強すべきか。   いつまでに英語を身に着けるべきか これは、可及的速やかに、である。就職活動をする時点で身 […]
  • 2021年6月15日 Q&Aで学ぶ契約書作成・審査の基礎 第2回 – 契約のスタイル   今回は, 契約書のスタイルやそれに用いる用語などに関し解説します。なお, 本Q&Aは, 全く新任の法務担当者(法学部以外の出身者を含む)も読者として想定しているので, 基本的なことから解説していきます。   【目  次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: 「契約」・「契約書」とは何ですか? Q2: […]
  • 2020年10月1日 GDPR関連資格をとろう! Q&Aで学ぶGDPRとCookie規制(17) – 地理的適用範囲(5)(処理者への適用関係)   今回は、「地理的適用範囲ガイドライン」[1](以下「ガイドライン」という)の解説の最終回として、ある企業(特に日本企業その他EU域外の企業)(「処理者」)が他の企業(「管理者」)に代わり個人データの処理を行う場合にその処理者の処理にGDPRが直接適用される否かかという問題(以下「本問題」という)について解説します。   【目  次】 (各 […]
  • 2019年12月1日 Q&Aで学ぶ英文契約の基礎(13) - 紛争解決条項(2)   この「Q&Aで学ぶ英文契約の基礎」第13回では、前回に引き続き、裁判と仲裁による紛争解決の違いの続きなど、紛争解決条項について解説します[1]。   Q1: […]
  • 2019年10月7日 ゼロから始める企業法務(第7回)/取締役会対応 皆様、こんにちは!堀切です。 これから企業法務を目指す皆様、念願かなって企業法務として新たな一歩を踏み出す皆様が、法務パーソンとして上々のスタートダッシュを切るための「ノウハウ」と「ツール」をお伝えできればと思っています。今回は取締役会についてお話いたします。   取締役会は会社の重要会議体 法務を採用する会社であれば、その多くは取締役会設置会社かと […]
to top