今回はGDPR第17条に規定された消去の権利(right to erasure) 及び忘れられる権利(right to be forgotten)について解説します。
・GDPRの高額な制裁金,広い地理的適用範囲についてはこちら 解説! GDPR(一般データ保護規則)の概要1
・GDPRの厳格な同意要件についてはこちら 解説! GDPR(一般データ保護規則)の概要2
・消去の権利と忘れられる権利
GDPRは,一定の場合にデータ主体が管理者に対して個人データの消去を請求する権利があることを明確にしています。GDPR制定時,いわゆる「忘れられる権利」(right to be forgotten)が明文化されるか,されるとしてどのような権利内容となるのかが注目されていました。結果として,第17条の表題はあくまで「消去の権利」(right to erasure)とされることになりましたが,括弧書きで「忘れられる権利」も付記されています。
そもそも「忘れられる権利」とはどのような権利なのかは議論があるところですが,「忘れられる権利」とまで呼べるものかは別にして,GDPRはデータ主体に対してより強固なコントロール権を保障していると言えます。まずは第17条1項(a)から(d)の規定を見てみましょう。
・より強固なデータ消去の権利
◎ GDPR17条1項
1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:
1. 以下の根拠中のいずれかが適用される場合,データ主体は,管理者から,不当に遅滞することなく,自己に関する個人データの消去を得る権利をもち,また,管理者は,不当に遅滞することなく,個人データを消去すべき義務を負う。 (a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; (a)その個人データが,それが収集された目的又はその他の取扱いの目的との関係で,必要のないものとなっている場合。 (b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing; (b) そのデータ主体が,第6 条第1 項(a)又は第9 条第2 項(a) に従ってその取扱いの根拠である同意を撤回し,かつ,その取扱いのための法的根拠が他に存在しない場合。 (c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2); (c) そのデータ主体が,第21条第1項によって取扱いに対する異議を述べ,かつ,その取扱いのための優先する法的根拠が存在しない場合,又は,第21 条第2 項によって異議を述べた場合。 (d) the personal data have been unlawfully processed; (d) その個人データが違法に取扱われた場合。 |
GDPRは,一定の場合にデータ主体が管理者に対して個人データの消去を請求する権利を有し,この場合管理者は遅滞なく個人データを削除すべき義務を負う旨規定します。このような規定自体は現在では珍しいものではありません。GDPRの前身であるEUデータ保護指令でも同趣旨の規定がありましたし,日本の個人情報保護法においても,2015年(平成27年)の改正によって,同様の請求権が個人の権利であることが明文化されています(同法第30条1項)。
◎ 日本法との比較
しかしながら,GDPRに関して注目すべきはその範囲です。日本の個人情報保護法では,① 利用目的内での利用を定める第16条に違反して取り扱われている場合,② 適正な取得を定める第17条に違反して取得された場合に個人データの利用停止ないし消去を請求することができるとされています。しかし,一旦同意の下で適法に取得されたデータについては,たとえ後にデータ主体が翻意して消去を求めたとしても管理者が消去に応じなければならない義務は規定されていません。特定された利用目的外の利用がない場合も同様です。
他方,前回コラムでも触れましたが,GDPRでは,かなり厳格な同意要件が法定されています。一旦はデータ取扱いに同意していたとしても,データ主体はいつでも管理者に対する同意を撤回することができます(GDPR第7条(3))。また,データを撤回し得ることについて,管理者は同意を得る前にデータ主体に説明しなければなりません。このような個人の自己のデータに対するコントロール権を強化する流れを汲み,本条では,データ主体が同意を撤回した場合,管理者に対してデータの消去を求めることができる旨定められました。
また,データ取得の目的との関係でもはやデータが必要なくなった場合には,たとえ目的外の利用がなかったとしても,データ消去を請求できます。つまり,GDPRでは,目的の範囲内か否かという観点だけではなく,データが管理者にとって必要かという点も問われることになります。管理者によるデータ保有を必要最小限に止めようとする厳しい規定です。
このようなデータ消去の権利の観点からも,GDPRは自己データに対する個人のコントロール権をより強固に保障しているものと評価することができます。とはいえ,17条1項はいわゆる「忘れられる権利」それ自体を定めらものとは理解されていません。「忘れられる権利」と主に関連性があるのは17条2項です。
・忘れられる権利とは?
◎ グーグルスペイン対ゴンザレス事件
新しい議論であることもあり,忘れられる権利の内容は論者により様々で,定説と呼べるものがないのが現状です。一般的には,プライバシー情報が含まれている検索エンジンの検索結果やオンライン上の古いニュース記事に対して削除を求めるという文脈で議論されることが多いと思います。これは,欧州司法裁判所による2014年5月13日の決定(Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González (グーグルスペイン対ゴンザレス))が忘れられる権利の議論に大きく影響を与えているからです。
この事件では,スペイン国籍のゴンザレス氏の名前をグーグルで検索すると,社会保障料金の未払いを原因とする同氏に対する不動産差押競売手続に関する1998年のオンライン記事へのリンクが表示されることについての是非が問われました。
同決定は,検索結果の削除の是非については,インターネットや検索エンジンを利用して当該情報へアクセルしようとするユーザーとデータ主体の基本的権利を衡量して決定されるべきもので,検索エンジンのオペレーターの経済的利益のみで正当化されるものではないとした上で,当初は適法なデータ処理であっても,個人情報が開示された時の目的,事件の状況に照らせば,一定期間が経過した後で,関連性が薄くなったり,過剰な情報を提供すると判断されることを理由として個人情報保護法に抵触する可能性があると指摘しています。
どのような場合に検索エンジンの検索結果や個人情報を含む記事の削除を求めることができるのかについては,個別具体的な比較衡量が必要となるため,現時点では明文化は難しく,今後の判例の集積を待つほかありません。しかし,GDPRでは,以下の通り,「忘れられる権利」と関連した権利を規定しています。
◎ GDPR17条2項
2.Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.
2.管理者が個人データを公開のものとしており,かつ,第1項によって,その個人データを消去すべき義務を負っている場合,その管理者は,利用可能な技術及びその実装費用を考慮に入れた上で,技術的な手段を含め,その個人データを取扱いしている管理者に対して,そのデータ主体が,そのデータ主体の個人データへのリンク又はそのコピー若しくは複製物が,その管理者によって消去されることを要求した旨の通知をするための合理的な手立てを講ずる。 |
すなわち,同意の撤回や必要性の欠如等の理由で管理者が個人データの消去に応じなければならない場合,当該管理者は,当該データ主体の個人データへのリンクや複製物を有している他の管理者に対しても通知を行うための合理的な手段を講じなければならないと規定します。他の管理者に対する消去請求も容易にするもので,個人の忘れられる権利にも配慮したものと考えることができます。
他方,欧州司法裁判所の決定が示す通り,忘れられる権利とは表現・報道の自由ないし知る権利等の他の基本的人権と鋭く対立することになります。そこで,GDPR上,17条の各権利が表現の自由と抵触する場合には,その範囲内で適用されないことが確認されています(17条3項(a))。
・まとめ
今後,このような規定に関する事件を中心として判例が集積されていくと予想されます。個人のプライバシーの権利と表現・報道の自由の適正なバランスを保つことは,インターネットが発達した情報化社会において避けがたい問題です。今後の欧州の議論が日本においても非常に参考になるのではないかと思われます。
(文責:山村真登)