GDPR 忘れられる権利 削除権

MENU

忘れられる権利とは?

 

GDPRでは「消去権(『忘れられる権利』)」‘right to be forgotten’を明文化したことでも有名です。(第17条)

 

企業の立場になると、GDPRでは、個人に関連する任意のデータを、依頼に応じて“忘れる”ことを義務付けられましたんです。

 

忘れられる権利とは、自己に関わるデータを企業のデータベースなどから消去させる権利のことです。GDPRでは、個人は、企業に対し、自分の個人情報を企業データベースからタイムリーに削除することを要求でき、要求が拒否された場合は、その理由を知ることができます

 

SNSが普及している現在、投稿した時には良かれと思った記事も、何年かしたら抹消したくなることがあるのは、想像できますよね。でも、後で削除しようとしても、もうすでに他のサイトにコピーされてしまったり、ということもあり得ます。
そんな忘れてほしい個人情報を消去してもらえる権利があったら、プライバシーが守られていいですよね。

 

ただしこの権利には、例外も記載されています。例えば以下の目的のために当該パーソナルデータの取扱いが必要となる場合には、忘れられる権利の行使は認められないものとされています。
①表現の自由・情報の自由の行使、
②EU法・加盟国法上の法的義務の履行、
③公益目的でのアーカイブ、科学的・歴史的調査又は統計(忘れられる権利の行使によりそれらの目的の達成が不可能又は著しく損なわれる場合)など。

 

様々な利益のバランスの下で成り立っているんですね。
確かに、何でもかんでも、個人が自分のデータを削除して!といったら困りますよね。

 

実際の条文を紹介します。

 

第17 条 消去の権利(忘れられる権利)
Article 17 Right to erasure (‘right to be forgotten’)
1. データ主体は当該データ主体に関する個人データについて管理者に不当に遅滞することなく消去させる権利を持つものとする。管理者は、次に掲げる根拠のいずれかが適用される場合、個人データを不当に遅滞することなく消去する義務を負うものとする。
1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

 

2. 管理者が個人データを公開しており、第1 項による個人データを消去する義務を負う場合、その管理者は、利用可能な技術及び実施の費用を考慮し、当該個人データを取り扱っている管理者たちにデータ主体が当該個人データのあらゆるリンク又はコピー若しくは複製の消去を要求している旨を通知するために、技術的措置を含む合理的手段をとらなければならない。
2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

 

忘れられる権利の例外は第3項に記載されています。

 

3. 第1 項及び第2 項は、取扱いが次に掲げるいずれかに必要な場合、適用されない。
3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:
(a) 表現及び情報の自由の権利の行使に必要な場合。
(a) for exercising the right of freedom of expression and information;
(b) 管理者が従うEU 法若しくは加盟国の国内法によって取扱いが要求されている法的義務を遵守するのに必要な場合。又は公共の利益若しくは管理者に与えられた公的権限の行使のために行われる業務の遂行に必要な場合。
(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(c) 第9 条第2 項(h)号並びに(i)号、及び第9 条第3 項により、公衆衛生の分野における公共の利益のために必要な場合。
(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of
Article 9(2) as well as Article 9(3);
(d) 第89 条第1 項により、公共の利益の目的、科学的若しくは歴史的研究目的又は統計目的の達成のために取扱いが必要な場合。ただし、第1 項で定める権利が実施できそうにない又は当該取扱いの目的の達成が損なわれる場合に限る。
(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。