27 海外法務, コンプライアンス, 情報セキュリティ, 外国法

今回は, ①管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, その個人データを開示(提供)した各受領者に通知すべき義務, および, ②データ主体のデータ・ポータビリティーの権利に関し解説します。

【目　　次】

(各箇所をクリックすると該当箇所にジャンプします)

Q1: 管理者から「受領者」への通知義務とは?

Q2: 「受領者」への通知の効果は?

Q3：データ・ポータビリティーの権利とは?

Q1: 管理者から「受領者」への通知義務とは?

A1：管理者が, データ主体の要求に応じ行った個人データの訂正, 消去または処理制限を, 管理者がその個人データを開示(提供)した各受領者に伝えるべき義務です。

【解　説】

GDPR第19条に以下のように規定されています(19)。

①管理者は, データ主体の要求に応じ行った個人データの訂正(16), 消去(17(1))または処理制限(18)(前回参照)を, 管理者がその個人データを開示(提供)した各受領者に伝え(communicate)なければならない。

②但し, この通知を行うことが不可能であるかまたは過大な負担となる(involves disproportionate effort)場合を除く。

③管理者は, データ主体から要求された場合, 上記受領者に関する情報を提供しなければならない。

【管理者が通知をすべき「受領者」】

この「受領者」(recipient)とは, GDPR上の定義(4(9))によれば, 第三者[1]であるか否かを問わず, 個人データが開示される個人または法人・公的機関その他の組織を意味します。[2]

従って, 「受領者」には, 従業員は勿論, その個人データが開示された処理者(処理委託先), 共同管理者, 個人データの移転先(EU域内またはEU域外)が含まれます。

なお, この「受領者」は, 管理者が個人データを取得した際にデータ主体に提供すべき情報の一つです(13(1)(e), 14(1)(e))。従って, 「受領者」は, 管理者が, 自らの意思で, 個人データを開示する予定の者または実際に開示した者に限られる(勝手に転載等した者を含まない)と思われます。

【GDPR第17条(消去請求権)第2項に基づく通知先との関係】

消去請求権(忘れられる権利)については, 前回Q3の通り, 管理者は, 第17条第2項においても, 次の通り転載管理者への通知義務を負っています。

- 管理者は, データ主体が要求した場合には, 管理者がその個人データを公開したためその個人データを再転載等処理している他の管理者(従って勝手に転載している管理者を含む)(「転載管理者」)に対し, データ主体が転載管理者についてもその個人データへのリンクまたは当該個人データのコピーもしくは複製を消去すべきことを公開管理者に求めたことを通知しなければならない。

従って, 消去請求権(忘れられる権利)に関しては, 管理者は, 次のように二つの通知義務を負うことになります。

(a) 第17条第2項に基づく転載管理者への通知義務

(通知の相手方)管理者がその個人データを公開したためその個人データを再転載等処理している他の管理者(従って勝手に転載している管理者を含む)(「転載管理者」)

(管理者の義務)管理者は, データ主体が転載管理者についてもその個人データへのリンクまたは当該個人データのコピーもしくは複製を消去すべきことを公開管理者に求めた場合, その旨を転載管理者に通知しなければならない。

(通知の効果)GDPR上特に規定されていない。しかし, 転載管理者は, EU域内にある等GDPRの適用を受ける場合には, この通知を受けることにより, 以後, その個人データを保存・処理できなくなり, 結局, 消去せざるを得ないものと思われる(前回Q3参照)。(＊)

(b) 第19条に基づく「受領者」への通知義務

(通知の相手方)管理者が, 自らの意思で, 個人データを開示した者(「受領者」)：(例) 従業員, 処理者(処理委託先), 共同管理者その他個人データの移転先(EU域内またはEU域外)

(管理者の義務)　管理者は, データ主体の要求に応じ行われた個人データの消去を, 受領者に通知しなければならない。

(通知の効果) 次のQ2参照。

Q2: 「受領者」への通知の効果は?

A2：管理者から, 第19条に基づく通知を受けた受領者について, どのような効果が生じるのかという点に関し, GDPR上特別の規定はありません。しかし, 他の規定等から, 以下のようになると思われます。

(a)受領者が管理者の従業員または処理者である場合： 管理者は, 自己の責任のもとにこれらの者に訂正等をさせなければなりません(32(4), 28(3)(a)参照)。これは, この処理者がEU域外にあるためSCC(対処理者)等により個人データを移転した場合を含みます。

(b)受領者が共同管理者である場合：共同管理者は, 開示元管理者との取決め(26)に従い対応しなければなりません。これは, この処理者がEU域外にあるためSCC(対管理者)等により移転した場合を含みます。

(c)受領者が共同管理者以外の管理者(以下「単独管理者」という)である場合：単独管理者がEU域内にある等GDPRの適用を受ける場合には, 次のようになると思われます。

(i)訂正請求権(16)は, その個人データが不正確または不完全な場合に行使されます。従って, 管理者の正確性確保義務(5(1)(d))に基づき, 単独管理者も訂正等を行わなければなりません。

(ii)消去請求権(忘れられる権利)(17)については, 受領者への通知(19)は, 通常, 転載管理者への通知(17(2))の趣旨を含むと思われます。その場合の効果は上記Q1(a)(＊)参照。

(iii)処理制限請求権(18)に関しては, 単独管理者についてどのような効果が生じるのかは明らかではありません。しかし, データ主体は, 管理者に要求して, 単独管理者に関する情報を入手し(19第二文), 直接単独管理者に処理制限を請求することができます。

Q3：データ・ポータビリティーの権利とは?

A3: データ・ポータビリティーの権利(Right to data portability)とは, データ主体が, ①管理者から自己の個人データをCSV等の電子ファイルで受け取る権利, ②その個人データを他の管理者に自ら送信・提供する権利, および, ③それが技術的に可能なら, その個人データを直接管理者から他の管理者に送信させる権利です。

【解　説】

【データ・ポータビリティーの権利成立要件】

(a)処理が以下のいずれかに基づいて行われていること。

-データ主体の同意(6(1)(a), 9(2)(a))

-処理がデータ主体との契約の履行のため必要な場合(6(1)(b)における, その契約

従って, 例えば, 管理者の正当利益(6(1)(f))(legitimate interest)を処理の適法性の根拠として処理されている個人データは, データ・ポータビリティーの権利の対象となりません。但し, この場合でもアクセス権に基づく自己の個人データのコピー請求権はあります(15(3))。

(b)処理が自動的手段(automated means)で行われていること

なお, ここで, 自動的手段(automated means)による処理とは, GDPR上直接的な定義はないが, 主にコンピュータ(ソフトウェア)による処理を意味するものと思われます。

【データ・ポータビリティーの権利内容】

上記の要件が満たされる場合, データ主体は次の権利を有します。

①データ主体が管理者に提供した自己の個人データを, 構造化され一般的に使用されている機械可読可能なフォーマット(a structured, commonly used and machine-readable format)(後述のガイドラインではXML, JSON, CSV等)で受け取る権利

②その自己の個人データを, 管理者に妨害されることなく(without hindrance from the controller)他の管理者に送信・提供する(transmit)権利。(以上20(1))

③それが技術的に実施可能なときは, 個人データを管理者から直接他の管理者に送信させる(have the personal data transmitted)権利(21(2))。

本権利の行使は消去請求権 (17)に影響しない(be without prejudice to)。[具体的には, 本権利を行使しデータ主体への個人データの提供または他の管理者への転送を要求したとしても, 元の管理者の保有する個人データの消去を要求するか否かは別個の権利なので別途選択できるという意味と思われます。]

本権利は, 公的機関の権限行使または管理者に与えられた公的任務遂行に必要な処理に対しては行使できない。(以上20(3))。

本権利の行使により他者の権利または自由を損なう(adversely affect)ことはできない(21(4))。

【データ・ポータビリティー権創設の背景・目的】

近年, Webメール, 音楽配信, SNS, オンライン小売等のサービスで, 米国等の企業(GAFA等)による寡占状態に対する警戒感が高まっています。例えば, 競争法の世界でも個人データを含むビックデータ集中による競争制限やビックデータを背景とした反競争的行為が意識されるようになっています^[3]。

WP29(監督機関の連合体である現EDPBの前身組織)はこのGDPR上の権利についてガイドラインを発表しています。

それによれば, データ・ポータビリティー権創設の目的は, 上記サービスの利用者が自己の個人データをある事業者のサービスから他の事業者のサービスに移行させることを容易にすることとされています。

そして, そのことにより特定事業者のサービスへの固定(lock-in)を防止し, ひいては事業者間の競争を促進することが期待されています(ガイドラインp3-5)。

今回はここまでです。

【筆者の最近の個人情報保護関連書籍】

NEW!!　「GDPR新SCC最終版公表について(概要と全訳)」 2021/06/11

「LINE事件と中国におけるガバメントアクセス規定」2021/04/26

「改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

^[4]

【注】

[1] 【「第三者」(third party)】　データ主体, 管理者, 処理者および管理者・処理者の直接の管理下で個人データの処理を行うことを許可されている者を除く, 個人・法人公的機関その他の組織を意味する(4(9)。

[2] 【「受領者」(recipient)の定義から除外される公的機関】 EUまたは加盟国の法令に従い特別の調査権に基づき個人データを取得する権限を有する公的機関は, 受領者とはみなされない。但し, 当該公的機関による当該データの処理は, 当該処理目的に従い, 該当のデータ保護ルールに従わなければならない(4(9))。

[3] 【ビックデータと競争法】　以下参照：(1) “In the matter of Google/DoubleClick” 　F.T.C. File No. 071-0170. (2)Office for Publications of the European Union “Case No COMP/M.7217 - FACEBOOK/ WHATSAPP” 　Date: 03/10/2014

[4]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

【筆者プロフィール】

浅井敏雄 (あさいとしお)

企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事

1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP (International Association of Privacy Professionals) 会員,CIPP/E (Certified Information Privacy Professional/Europe)

【発表論文・書籍一覧】

https://www.theunilaw2.com/

メルマガ会員登録