GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制(32)-データ主体の権利：総則・アクセス権(1)
2021/10/26   海外法務, コンプライアンス, 情報セキュリティ, 外国法

 

今回からデータ主体の権利について解説していきます。その第1回目の今回は,その総論とアクセス権の内容について解説します。

 

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1: データ主体の権利とは? 種類は? Q2: データ主体の権利行使への対応の共通原則は? Q3: アクセス権とは? Q4: 域外移転の保護措置に関するアクセス権とは? Q5: 自分の個人データのコピー請求権とは? Q6: 請求された個人データに営業秘密・他人の情報等が含まれる場合は? Q7: データ主体に開示範囲の絞り込みの依頼可能?

Q1: データ主体の権利とは? 種類は?

A1: データ主体の権利(Rights of the data subject)とは,GDPR第3章(Chapter III)第15条以下に定められている,データ主体の管理者(controller)に対する各種の権利(請求権)です。その種類は以下の通りです。

第15条 アクセス(開示・コピー)請求権： Right of access

第16条 訂正請求権： Right to rectification

第17条 消去請求権(「忘れられる権利」)： Right to erasure ("right to be forgotten")

第18条 処理の制限請求権： Right to restriction of processing

第20条 データ・ポータビリティーの権利: Right to data portability

第21条 処理禁止権(異議申立権)： Right to object

第22条 自動意思決定(プロファイリングを含む)に服さない権利：Right not to be subject to Automated individual decision-making, including profiling

 

Q2: データ主体の権利行使への対応の共通原則は?

A2: GDPR第3章(Chapter III)の最初に出てくる規定である第12条には,データ主体の権利行使に対する管理者の対応の共通原則が規定されています。そこで,データ主体の個々の権利内容について解説する前に, これら権利全部に共通する原則について解説します。

1.本人確認等

管理者は, 第15条～第21条に定めるデータ主体の権利に基づく請求を行う者が[本当に]そのデータ主体本人であるか否か(the identity)に関し合理的な疑い(reasonable doubts)がある場合, 本人確認のため必要な追加の情報の提供を求めることができます(12(6))。

2. 対応期限

管理者は, 第12条～22条に定めるデータ主体の権利に基づく請求に対してとられた措置[具体的には以下の通り]に関する情報を, 不当に遅滞することなく(without undue delay)かついかなる場合もその請求を受けた後原則として1か月以内に, データ主体に提供しなければなりません(12(3))。

第15条 アクセス(請求)権：請求された情報・コピーの開示・提供

第16条 訂正請求権：訂正したことの通知

第17条 消去請求権(「忘れられる権利」)：消去したことの通知

第18条 処理の制限請求権：制限したことの通知

第20条 データ・ポータビリティーの権利：請求された個人データのデータ主体への提供または他の管理者への送信を完了したことの通知

第21条 処理禁止権(異議申立権)：処理を止めたことの通知

第22条 自動意思決定(プロファイリングを含む)に服さない権利： 明確ではありませんが, 例えば, データ主体からの請求に応じ, 次のような情報を提供することと思われます。

-  人間を関与させ再評価した結果

-  データ主体の見解を踏まえて再評価した結果

結局, (i) アクセス権については請求された情報・コピーの提供を, (ii) 他の権利については請求への対応を、それぞれ、その完了通知までを含め, 不当に遅滞することなくかついかなる場合もその請求を受けた後原則として 1か月以内に行わなければならないことを意味します。(データ主体の請求に応じない・応じることができない場合も同様に1か月以内にその旨通知：後記(4)参照)

但し, この期限は, その請求の複雑性と件数を踏まえ(taking into account complexity and number of the requests), 必要な場合には更に最大2か月(two further months)延長することができます。管理者は, この期間延長を, データ主体に対し, その請求を受けた時から1 か月以内に, 遅滞の理由と共に通知しなければなりません。(12(3))

3. データ主体の請求が電子的手段で行われた場合

管理者は, データ主体が別の方法を請求した場合を除き, 可能な限り電子的手段で請求情報を提供しなければなりません(12(3))。

4. データ主体の請求に応じない・応じることができない場合

管理者は,データ主体に対し, 不当に遅滞することなくかついかなる場合も請求後原則として 1か月以内に, 請求拒絶の理由, および, データ主体が監督機関に不服を申立て, また, 裁判所に救済を求めることができる旨を通知しなければなりません(12(4))。

5. 無償対応義務

管理者は, データ主体の請求に無償で対応しなければなりません(12(5))。

6. 手数料請求または請求拒絶が可能場合

請求が繰返して行われる等, 請求に根拠がなくまたは過剰なことが明らかな(manifestly unfounded or excessive)場合(その立証責任は管理者が負う)は, 管理者は, 次のいずれかを行うことができます(12(5))。

①合理的な手数料を請求すること

②請求を拒絶すること

 

Q3: アクセス権とは?

A3: データ主体が,管理者に対し,自分に関する個人データが処理されているか否かを確認し,また,それが処理されている場合にはその個人データと以下(a)～(h)の情報にアクセス(＊)する権利です。

(＊)「アクセス(する)」(access)の訳として,英和辞典では「接近(する)」等の訳語が出てきますが,GDPR上は,管理者から該当の情報を知らされる,その情報(のコピー)の提供を受ける,閲覧を許される等の意味です。

【アクセス権の対象情報】　

-  管理者がそのデータ主体に関する個人データを処理しているか否か。

-  上記が「Yes」なら以下の情報。

(a)処理の目的

(b)その個人データのカテゴリー

(c)その個人データが過去に開示されもしくは開示される予定の受領者(recipient)またはそのカテゴリー(特に第三国の個人データの受領者または国際機関)

(d)その個人データの保存期間(またはこれを提供できない場合, 保存期間決定基準)

(e)データ主体の管理者に対する訂正・消去・処理制限請求権および処理禁止権(異議申立権)[についての説明]

(f)データ主体の監督機関に対する不服申立権[についての説明]　

(g)その個人データが間接取得された場合, その情報源(入手元)に関する提供可能な(available)情報

(h)自動意思決定(プロファイリングを含む)(22(1),(4))の有無, その処理ロジックについての意味ある情報, データ主体にとっての当該処理の重要性および想定される影響

なお,前文63には, データ主体のアクセス権には, 自分の健康に関するデータ, 例えば, 疾病の診断(diagnoses), 検査結果, 担当医師による判定, 治療行為その他医療記録に含まれるデータにアクセスする権利が含まれる旨が述べられています。

 

Q4: 域外移転の保護措置に関するアクセス権とは?

A4: データ主体が,自分の個人データが第三国(または国際機関)に移転される場合, その移転に関する適切な保護措置(appropriate safeguards)(46)[SCC, BCR等]を知らされる権利(the right to be informed of)です(15(2))。

【解　説】

欧州連合(EU)域内から個人データをEU域外に移転するには,①その移転先の国が欧州委員会が十分なデータ保護の水準を確保していると認定した国であるか(45),または,②移転元のEU域内の管理者または処理者が適切な保護措置(appropriate safeguards)を講じること等(46)が必要です(他に49条の特別の例外がある)

この保護措置として最も多く利用されているのは欧州委員会指定のStandard Contractual Clauses(SCC)[を移転先と締結すること]であり,他の保護措置としてはBinding corporate rules(BCC)(47)等があります。

そして,本Q&A第30回Q1,Q2で解説した通り,この保護措置(SCC, BCR等)とそのコピーの入手方法・場所については, 管理者は, データ主体からその個人データを直接取得した場合はその取得時に(13(1)(f)), 間接取得した場合は取得から1か月以内に(14(1)(f), 14(3)), データ主体に情報提供することが義務付けられています。

従って,このアクセス権はQ1のアクセス権と同じ第15条の第2項で規定されていますが,Q1のアクセス権はデータ主体から管理者に対し請求することにより行使されるのに対し,このアクセス権は最初から管理者が情報提供することによりデータ主体が受け身的に知らされる権利です。

 

Q5: 自分の個人データのコピー請求権とは?

A5: 管理者は, データ主体から請求された場合, 処理中の(undergoing processing)個人データのコピー1部(a copy)をデータ主体に提供しなければならないと規定されています(15(3))。従って,データ主体は,管理者が処理している個人データ自体についてその閲覧等だけでなくそのコピーの提供を受ける権利を有します。

【解　説】

但し,「処理中の」(undergoing processing)とあるので,管理者が消去してもはや保存もしていない個人データはこのアクセス権の対象とはなりません。

また, 管理者は, 個人データの処理の目的上データ主体の特定が必要でない場合または必要でなくなった場合[統計・集計データさえあればいい場合,匿名化したデータで間に合う場合等が含まれると思われる], GDPR遵守のためにのみ, データ主体を特定するための追加情報を保持・取得または処理する義務を負いません(11(1))。

従って, アクセス権の行使に備えるため, 個人データまたはこの追加情報を保持しておく必要はありません。

むしろ, 個人データは, データ主体が特定できる(permits identification)形では, 処理目的達成に必要な期間を超えて保存してはなりません(5(1)(e)前半)。

管理者は, データ主体から1部を超えるコピー(any further copies)の提供を求められた場合は, その超える部分について, 管理費用(administrative costs)を基にした合理的な手数料[通常, 実費と思われる]を請求することができます(15(3))。

管理者は, データ主体がコピー提供の請求を電子的手段で行ったときは, 請求された情報を, 一般に用いられる電子的フォームで(in a commonly used electronic form)[例えば,PDF, Word等と思われる]提供しなければなりません(但し, データ主体が他の手段での提供を求めた場合を除く)(15(3))。

 

Q6: 請求された個人データに営業秘密・他人の情報等が含まれる場合は?

A6: データ主体のアクセス権に含まれる個人データのコピー請求権(15(3))[の行使・対応]により, 他者(others)の権利および自由に不利な影響(adversely affect)を及ぼしてはならない(15(4))と規定されています。従って,データ主体からコピー提供を請求された個人データに,他者(データ主体以外の者。管理者・第三者)の営業秘密・他人の情報等が含まれる場合,一定の条件のもと,その部分を削除等してコピーを提供すればよいことになります。

【解　説】

GDPR前文62には,データ主体の「知る権利および知らされる権利」(the right to know and obtain communication)は, 営業秘密(trade secrets), 知的財産(intellectual property)(ソフトウェア著作権を含む), その他他者の権利または自由に悪影響を及ぼしてはならない,と述べられています。

このことから, 上記の他者の権利等には, 管理者の営業秘密,知的財産等も含まれるものと考えられます。

この他,アクセス権を行使したデータ主体の個人データを含むドキュメント, メール等のコピーに含まれる情報のうち, それをデータ主体に開示またはコピー提供することにより, 他者のプライバシー等に関する権利・自由を侵害しその他悪影響を及ぼすこととなる情報は, コピー請求権およびアクセス権全般の対象外と思われます。

また, 管理者は, そのような情報であって管理者以外の「他者」(個人または法人)の情報については, その「他者」の同意等の根拠もなく, データ主体に提供すればその「他者」の権利侵害として責任を追及されるおそれがあります。従って, これらの情報を削除等して, データ主体に開示・コピー提供すべきものと思われます。

但し, この「悪影響」(adversely affect)は, どのような程度のものであってもよいわけではなく, データ主体のアクセス権と, 開示等により損なわれる「他者」(管理者自身を含む)の利益・権利とを比較衡量した上で後者を優先させるべき程度のものでなければならないものと思われます。また,他者の個人データをデータ主体に開示・コピー提供するには,それも個人データの「処理」に当たる(4(2))ので,その他者の同意その他第6条または第9条に定める処理の適法性の根拠が必要ということになります。

また, 第5条第2項および第24条第1項に定める管理者の説明責任(accountability)から, 管理者は, データ主体に対し, 上記の理由によりアクセス権の対象外となることを説明し必要があればこれを証明すること(demonstrate)が必要と思われます。

 

Q7: データ主体に開示範囲の絞り込みの依頼可能?

A7: GDPR本文ではありませんが, 前文63では, 管理者は, アクセス権を行使したデータ主体に関する情報を大量に有する場合, データ主体に対し事前に開示対象を特定する(specify)よう求めることができると述べられています。

従って, データ主体に対し,データ主体が真に必要とするものに開示範囲を絞り込むよう依頼することは許されると思われます。

 

今回は以上です。次回は,アクセス権への具体的対応方法について解説します。

 

 

「GDPR関連資格をとろう！Q&Aで学ぶGDPRとCookie規制」バックナンバー

 

【筆者の最近の個人情報保護関連書籍】

NEW!! 「LINE事件と中国におけるガバメントアクセス規定」2021/04/26

NEW!! 「改正個人情報保護法アップデート(施行令・施行規則の制定)」2021年4月

​「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月

「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (上) - GDPRとCookie規制」 2019年11月

「GDPR関連資格CIPP/E準拠 詳説GDPR  (下) - GDPRとCookie規制」 2019年11月

^[1]

 

【注】

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

[1]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

(＊) このシリーズでは,読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし,そのような疑問・質問がありましたら,以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが,筆者の知識と能力の範囲内で可能な限り反映しようと思います。

review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School  (東京校) Certificate of American Law Study取得。GBL研究所理事,国際取引法学会会員,IAPP  (International Association of Privacy Professionals) 会員,CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/