GDPRの条文第17条には、「忘れられる権利」について規定されています。忘れられる権利とは具体的にどういったものかを解説します。
忘れられる権利の具体的な内容について
忘れられる権利について、実際の第17条条文の和訳をもとに、内容について解説します。
1.
以下の根拠中のいずれかが適用される場合,データ主体は,管理者から,不当に遅滞することなく,自己に関する個人データの消去を得る権利をもち,また,管理者は,不当に遅滞することなく,個人データを消去すべき義務を負う。
- (a)その個人データが,それが収集された目的又はその他の取扱いの目的との関係で,必要のないものとなっている場合。
- (b)そのデータ主体が,第6 条第1 項(a)又は第9 条第2 項(a) に従ってその取扱いの根拠である同意を撤回し,かつ,その取扱いのための法的根拠が他に存在しない場合。
- (c)そのデータ主体が,第21条第1項によって取扱いに対する異議を述べ,かつ,その取扱いのための優先する法的根拠が存在しない場合,又は,第21 条第2 項によって異議を述べた場合。
- (d)その個人データが違法に取扱われた場合。
2.
管理者が個人データを公開のものとしており,かつ,第1項によって,その個人データを消去すべき義務を負っている場合,その管理者は,利用可能な技術及びその実装費用を考慮に入れた上で,技術的な手段を含め,その個人データを取扱いしている管理者に対して,そのデータ主体が,そのデータ主体の個人データへのリンク又はそのコピー若しくは複製物が,その管理者によって消去されることを要求した旨の通知をするための合理的な手立てを講ずる。
1では、データ主体によって忘れられる権利の行使がされた場合は、データ管理者は即座にデータを消去する義務を負うとし、また(a)~(d)で忘れられる権利の行使条件が記載されています。
- (a)は、収集されたデータが既に不必要となったとき
- (b)は、データ主体が個人情報取扱いの同意を撤回し、かつ法的にデータ管理者がそのデータの取扱いの必然性を持たないとき
- (c)は、データ主体が個人情報の取扱いに対して異議を唱え、管理者がデータ主体の利益や権利、自由よりも優先されるべきデータの取扱いの理由を証明できなかったとき。もしくはデータ主体のデータがダイレクトマーケティングに利用されており、それに対してデータ主体が異議を唱えたとき。
- (d)は、データ主体の個人情報が違法に取り扱われたとき
2では、データ主体が忘れられる権利を行使した際、その個人情報が公開された情報としてデータ管理者の管理下に無い場所に保管されていた場合は、データ管理者はあらゆる手段を使って対象の個人情報の保管者に対してデータの消去を通知、要求する義務を持つとしています。
忘れられる権利の例外について
第17条には、忘れられる権利が適用されない例外も記載されています。
3.
第1 項及び第2 項は、取扱いが次に掲げるいずれかに必要な場合、適用されない。
- (a) 表現及び情報の自由の権利の行使に必要な場合。
- (b) 管理者が従うEU 法若しくは加盟国の国内法によって取扱いが要求されている法的義務を遵守するのに必要な場合。又は公共の利益若しくは管理者に与えられた公的権限の行使のために行われる業務の遂行に必要な場合。
- (c) 第9 条第2 項(h)号並びに(i)号、及び第9 条第3 項により、公衆衛生の分野における公共の利益のために必要な場合。
- (d) 第89 条第1 項により、公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的の達成のために取扱いが必要な場合。ただし、第1 項で定める権利が実施できそうにない又は当該取扱いの目的の達成が損なわれる場合に限る。
(引用:GDPRの忘れられる権利とは?)
上記のように例外があるとはいえ、基本的にはデータ主体が有利になるような条文となっています。
データ管理者は、いつ忘れられる権利を行使されてもいいようにデータ消去の仕組みづくりと、データの所在を管理を徹底すべきといえそうです。