28 海外法務, コンプライアンス, 情報セキュリティ, 外国法

GDPRは, データ主体の権利に関し, 従来のアクセス権等に加え, データ保護指令にはないデータ・ポータビリティーの権利を新設し(20), 本シリーズの第35回でGDPR上の規定を中心としてその概要を解説しました。

この権利については, WP29が2016年12月13日に採択し2017年4月5日に改訂された“Guidelines on the right to data portability”^[1](以下「本ガイドライン」という)が公表されています。

本ガイドラインは, 権利の内容, 成立要件, 権利行使, 管理者からの個人データの送信方法等に関し解説するものです。今回はこのデータ・ポータビリティーの権利に関する本ガイドラインの概要について解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: データ・ポータビリティーの権利の内容は?

Q2:データ・ポータビリティーの権利の成立要件は?

Q3:他人の権利・自由等との関係は?

Q4:管理者から送信先管理者への直接送信は?

Q5:送信される個人データの形式は?

Q6:データ主体への個人データ提供時のセキュリティー確保は?

Q1: データ・ポータビリティーの権利の内容は?

A1：第35回Q3で説明した通り、データ・ポータビリティーの権利(Right to data portability)とは, データ主体が, ①管理者から自己の個人データを受け取る権利, ②その個人データを他の管理者に自ら送信する権利, および, ③それが技術的に可能なら, その個人データを直接管理者から他の管理者に送信させる権利ですが、これらについてガイドラインでは以下のように解説されています。

①管理者から自己の個人データを受け取る権利

(具体例)

(a)音楽ストリーミングサービス提供事業者(管理者)から自己のプレイリスト(聴取履歴)を受取る権利

(b)Webメールサービス提供事業者(管理者)から自己の連絡先リストを受取る権利

データ主体は, 本権利を行使して, 管理者から受取った自己の個人データをそのまま自分で保存, 利用, 消去してもよいし, 他の管理者に提供してもよい。

本権利は, データ主体のアクセス請求権(15)を補完するするものとも言える。

本権利は消去請求権とは異なるから(20(3)), 管理者が保有するコピーの消去を自動的に求めるものではなく, データ主体は本権利行使後も従来の管理者のサービスを継続して利用できる。

②その個人データを他の管理者に自ら送信する権／③直接管理者から他の管理者に送信させる権利

データ主体は, 管理者から受取った自己の個人データを, 当該管理者に妨害されることなく(without hindrance from the controller)他の管理者に自ら送信する(transmit)権利を有する(21(1))。

また, それが技術的に実施可能な場合, 当該個人データを管理者から直接他の管理者に送信させる権利を有する(21(2))。

但し, これにより, 管理者に, 個人データを本来の保存期間より長く保存することを義務付けるものではない。

【管理者が個人データの処理を委託している場合／他の管理者と共同管理している場合】

管理者と処理委託先との間で締結すべき処理委託契約(28)には, データ主体の権利(本権利を含む)の行使への対応に関し, 処理者が管理者を支援すべきことを規定しなければならない。管理者は, このための具体的手続を処理者との間で定めなければならない。

管理者が個人データを他の管理者と共同管理している場合, 共同管理契約(26)において, 本権利への対応を含め各管理者の責任を明確に定める必要がある。

【他の管理者(送信先管理者)の義務】

送信先の他の管理者(以下「送信先管理者」という)が受け入れるべき個人データは, [元の管理者の保有データ全部ではなく]送信先管理者が行う処理に必要なものに限られる。

送信先管理者は, 受入れる個人データについて, データ主体に対し処理目的等所定の情報を提供し(13,14), [かつ, 自身による処理についてデータ主体の同意その他適法性の根拠を具備しなければならない]。

Q2:データ・ポータビリティーの権利の成立要件は?

A2：ガイドラインでは以下のように解説されています。

【権利成立要件】

以下の(a)～(c)全部の要件が満たされること。

(a)対象の個人データが, データ主体が管理者に提供した自己に関する個人データであること。

(b)処理が以下のいずれかの処理の適法性の根拠に基づいて行われていること。

(i)データ主体の同意(6(1)(a), 9(2)(a))

(ii)処理が, データ主体との契約の履行のため必要な場合(6(1)(b))における, その契約

(c)処理が自動的手段(automated means)で行われていること

【成立要件の当てはめ例】

(a)オンライン書店が処理する購入書籍リストや, 音楽ストリーミングサービス業者が処理する聴取曲リストは, 上記(a)-(ii)のデータ主体との契約に基づく場合に該当し本権利の対象となる。

(b)金融機関がマネーロンダリングその他の金融犯罪を防止・探知するため処理する個人データは, 上記の同意または契約いずれにも基づかないから本権利の対象外。

(c)従業員の個人データに関しては, 給与支払のための処理は雇用「契約」に基づくから本権利の対象となるが, 他はケースバイケース。雇用主と従業員の間の立場の不均衡のため, 処理が同意に基づくものと認められる場合は少ない。

(d)処理が自動的手段(automated means)で行われることが条件なので, 個人データが紙で処理される場合, 通常本権利の対象外となる。

【対象となる個人データ】

自己に関する個人データであり, かつ, データ主体が管理者に提供した個人データ。

(a)自己に関する個人データであること

自己に関係しないデータは全て対象外となる。

また, 匿名(anonymous)データは, もはや個人を特定できず個人データとは言えない(前文26)から対象外。

一方, 仮名化されたに過ぎないデータ(pseudonymous data)は, 他の(追加の)データがあれば個人を特定でき(4(5)), なお「個人データ」に該当するから対象となる。

(自己に関する個人データに他人の個人データが含まれる場合)

この場合も対象となり得る。

(具定例)データ主体の電話, 個人同士のメッセージ通信等の通話・通信データには, その相手方のデータも含まれるが, 当該データ主体の個人データであるから, 管理者は, そのデータ全体を本権利の行使に対応し提供しなければならない。但し, 本権利の行使により他者の権利または自由を損なうことはできない(20(4))(Q3参照)。

(b)データ主体が管理者に提供した個人データであること

次の(i)だけでなく(ii)の個人データも含む。

(i)データ主体が意図的かつ積極的に(knowingly and actively)提供したデータ

(具定例)データ主体がアカウント登録のためオンラインフォームで提供した住所, ユーザ名, 年齢等

(ii)管理者によるデータ主体の行動観察から直接得られたデータ

(具定例) スマートメーター(使用電力検針データ)・ウェアラブル機器(心拍数)・コネクテッドカー(交通データ)・スマートフォン(位置データ)等, ネットに接続されている機器から取得された個人データ／アクティビティログ[例えば, Facebookでの投稿, 「いいね！」, 「コメント」等の記録]／ウェブサイト利用・検索履歴等

(管理者による分析データの扱い)

管理者が上記の個人データを分析, 推測等して作成した個人データは含まれない(本権利の対象外)。

・具定例：管理者がユーザの入力データまたは観測データに基づいて作成した以下の個人データ　[自己に関する個人データではあるが, データ主体が管理者に提供した個人データとは言えない。]

-ユーザープロファイル／健康評価データ／クレジットスコア／マネーロンダリング防止のため作成したプロファイル／パーソナライゼーション・レコメンデーション・ユーザーカテゴライゼーション・プロファイリング等の手法により得た個人データ

Q3:他人の権利・自由等との関係は?

A3：ガイドラインでは以下のように解説されています。

データ主体は本権利の行使により他者の権利または自由を損なうことはできない(20(4))。[例えば、データ主体が本権利の行使により入手した自己のSNSメッセージを公開または第三者に開示し、そのメッセージの相手方のプライバシーを侵害する行為が該当すると思われる]

元の管理者および送信先管理者は, データ主体による本権利の行使自体については責任を負わない。但し、送信先管理者は, 送信された個人データにデータ主体以外の他人の個人データが含まれる場合, その他人の個人データを自己の商品・サービスのマーケティング目的等, 送信目的以外の目的のために利用することは禁止される。

Q4:管理者から送信先管理者への直接送信は?

A4：ガイドラインでは以下のように解説されています。

データ主体は, 本権利を行使する場合, それが技術的に実施可能な場合, 個人データを管理者から直接他の管理(送信先管理者)に送信させる(have the personal data transmitted)権利を有する(20(2))。

技術的問題のため直接送信ができない場合, 管理者は, データ主体にその理由を説明しなければならない。

管理者は, 送信対象の個人データ(以下「送信対象データ」という)をデータ主体または送信先管理者が入手できるよう以下の2つの補完的措置を検討すべきである。

(a)送信対象データの直接送信

(b)送信対象データの抽出(extraction)を可能にする自動ツール

なお, 上記の方法により, 技術的セキュリティーを確保しながらデータを送信・入手するための手段としては, セキュアメッセージング, SFTPサーバ, セキュアなWeb APIまたはWeb Portal等がある。

【アプリケーション・プログラミング・インタフェース(API)の利用】

本ガイドラインでは, データ・ポータビリティーを, データ主体, 管理者, いずれにとっても負担が少ない手段で実現する方法として, アプリケーション・プログラミング・インタフェース(API)の利用が繰り返し推奨されている。

ここでいうAPIとは, 他のシステムまたはアプリケーションが管理者のシステムとリンクして動作するよう, 管理者が提供するアプリケーションまたはWebサービスのインターフェイスを意味する(本ガイドライン脚注27)。

本ガイドラインにAPI利用の具体的説明はないが, 例えば, 日本でも, 銀行(元の管理者)のインターネットバンキング・サービスを利用しているユーザが, APIを利用し, 自己がユーザとなっている資産管理アプリに銀行口座残高(データ・ポータビリティーの対象となる個人データ)を常時自動的に取り込むことが普及しつつある。本ガイドラインでいうAPIの利用もこれと同様のことが想定されているのではないかと思われる。

本ガイドラインでも, APIにより, 個人は「第三者」のソフトウェアを介して自己の個人データの送信を「管理者」に要求し, または, 「第三者」が自己に代わりその要求をすることを許可できると記載されている。上記の例でいえば, 資産管理アプリ提供事業者がこの「第三者」に該当し, 銀行が「管理者」に該当すると思われる。

Q5:送信される個人データの形式は?

A5：ガイドラインでは以下のように解説されています。

管理者は, データ主体が本権利の行使により要求した個人データを, 構造化され一般的に使用されている機械可読可能なフォーマットで(in a structured, commonly used and machine-readable format)送信しなければならない(20(1))。

具体的には, 業界の共通フォーマット, それがない場合は一般的に使用されているオープンフォーマット(XML, JSON, CSV等)等である。この場合, その電子データの内容把握, 機能利用, 再利用を容易にするため, メタデータ(データの日付, 名称等の属性情報)とともに提供すべきである。

Q6:データ主体への個人データ提供時のセキュリティー確保は?

A6：ガイドラインでは以下のように解説されています。

管理者は, データ主体に確実にかつ安全に個人データを提供・送信するため, 厳密な本人認証手段(例：共有秘密鍵(shared secret), ワンタイムパスワード等)により確認した宛先(送信先アプリ等)にエンドツーエンド暗号化(*)またはデータ暗号化等を使用して送信すべきである。

(*) [送信者と受信者の間で暗号化されたデータをやり取りし, 両端末でのみデータを復号して閲覧する方式。通信の秘匿性が高い。終端間暗号化。端末間暗号化]

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

NEW!!「GDPR新SCC最終版公表について(概要と全訳)」 2021/06/11

「LINE事件と中国におけるガバメントアクセス規定」2021/04/26

「改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[2]

【注】

[1] 【データ・ポータビリティーガイドライン】 Guidelines on the right to data portability(2017年4月5日最終版確定) 原文, 日本の個人情報保護委員会の原文併記和訳

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録