GDPR データポータビリティの権利

MENU

データポータビリティとは?

 

データポータビリティの権利(The right to data portability)は、GDPRで新たに定められた権利のひとつです。

 

簡単に言うと、「個人データを、プラットフォームまたはデータ供給者間で移動させられるようにするための、転送可能なフォーマットが有用提供されことを要求する新しい権利」
ということなんですが、全然簡単じゃないですね。
新しい概念になるので、理解が難しいです。

 

この権利が認められると、情報主体者は情報管理者に提供したデータを、機械で読み取り可能かつ構造化した形式で取得でき、その情報を別の情報管理者に移転することができます。

 

第29条作業部会で作成されたガイドラインでは、
・情報主体者の行動履歴(検索履歴、音楽の再生回数等)はポータブルデータに含まれること
・情報管理者はデータ構造を必要以上に複雑化するなどしてデータポータビリティについて障壁を設けてはならないこと
・情報管理者はセキュアな方法でデータを提供しなくてはならないこと、ポータブルデータの受け入れは義務ではないこと

 

等が定められています。

 

ガイドラインについては、こちらをご覧ください。

 

なんで、このデータポータビリティーの権利が盛り込まれたかという背景を考えてみると、Google、Apple、FacebookなどなどのアメリカのIT大企業を意識しているのではと考えられます。
今、個人データは、これらのプラットフォーム独占企業にどんどん収集されています。
個人データが、こういった企業に独占的に所有されてしまっていますが、今後AIの進歩によって、さらに支配されてしまうのを危惧しているのでは、と感じます。

 

「データポータビリティ」の権利により個人が個人データの返還を申し出ると、事業者の妨害なくその個人に返還する義務を負うことになります。これにより、事業者が「所有」する個人データは本来の所有者に返還され、別な事業者に個人データを移管して活用することが可能となります。

 

他の業者に移管できる形式っていうと、一体どんな形式なんだろう??などなど、疑問は残りますね。

 

第20 条 データポータビリティーの権利
Article 20 Right to data portability
1. データ主体は、当該データ主体が管理者に提供した当該データ主体に関する個人データについて、構造化され、一般的に利用され機械可読性のある形式で受け取る権利があり、当該データを、個人データが提供された管理者の妨害なしに、他の管理者に移行する権利がある。ただし、次に掲げる場合に限る。
1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided,where:

 

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR プロファイリングに異議を唱える権利とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR プロファイリングに異議を唱える権利とは?
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。