GDPR プロファイリングに異議を唱える権利

MENU

プロファイリングに異議を唱える権利とは?

GDPRでは、このプロファイリングに対して、データの主体である個人の権利も明記されています。
第4節に「このプロファイリングに異議を唱える権利」と、「コンピューターによる自動処理のみに基づく“重要な決定”には服さない権利」が記されています。

 

第4 節 異議を唱える権利及び個人に対する自動化された意思決定
SECTION 4 RIGHT TO OBJECT AND AUTOMATED INDIVIDUAL DECISION-MAKING

 

第21 条 異議を唱える権利
Article 21 Right to object

 

1. データ主体は、当該データ主体のそれぞれの状況に関する理由を根拠として、第6 条第1 項(e)号又は(f)号に基づくプロファイリングを含む当該条項を根拠とした自己に関する個人データの取扱いに対して、いつでも異議を唱える権利を有する。管理者は、データ主体の利益、権利及び自由に優先する取扱いのための、又は法的主張時の立証、行使若しくは抗弁のための差し迫った正当な根拠であることを示さない限り、もはや個人データを取り扱ってはならない。
1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on points (e) or (f) of Article 6(1),
including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims
(GDPR第21条 1項)

 

2. 個人データがダイレクトマーケティングのために取り扱われるならば、データ主体は、当該マーケティングのための当該データ主体に関する個人データの取扱いに対して、いつでも異議を唱える権利を持つ。当該ダイレクトマーケティング範囲内のプロファイリングを含む。
2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning
(GDPR第21条 2項)

 

第22 条 プロファイリングを含む自動化された個人意思決定
Article 22 Automated individual decision-making, including profiling
1. データ主体は、当該データ主体に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された取扱いのみに基づいた決定に服しない権利を持つ。
1. The data subject shall have the right not to be subject to a decision based solely on automated processing,
including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
(GDPR第22条 1項)

 

GDPRのプロファイリング規制の意図は?

「コンピューターによる自動処理のみに基づく決定に服しない権利を持つ」とありますので、企業は「プロファイリング」を行う時に、機械で自動的に判断するだけではなく、何らかの形で「人」が介入して決定を行う必要があるということになりますね。

 

GDPRでこの権利を明記している背景としては、個人データの不適切な収り扱いで「差別」などの権利侵害が生じることがないように、個人の権利を守っていると考えられます。

 

今の時代、企業が個人から提供してもった個人情報以外にも、SNSの情報などを組み合わせると本人が意図していない「プロファイリング」が可能になっていますので、確かにプロファイリングを無条件に認めてしまうと個人の権利を侵害してしまうケースも出てきそうですよね。

 

例えば、欧州委員会では「人事採用」や「保険加入」などのケースを想定していると思われますが、「人種」や「病歴」などの個人情報を元に不当な判断がなされてしまうと困りますよね。

 

とはいえ、「人事採用」に関しては、人が判断すると、個人的な好みなどで判断をしてしまうこともあると思いますので、機械的な判断が一番公平とも考えられますし、難しいところですよね。

関連ページ

GDPRの施行日は?いつから発効?猶予期間終了しました。
GDPR(EU一般データ保護・規則)について、どこよりもわかりやすく説明します。 GDPRの施行日・発効日・猶予期間は?いつから対応が必要になるの?
GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの制裁金(罰金・違反金・課徴金)が26億円!?罰則規定は?
GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの保護対象国EEAって何?イギリス(英国)はどうなる?
GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR保護対象個人データの定義 クッキーも個人情報になるの?
GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRの適用範囲は?域外適用とは?日本企業も対象になる?
GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR越境データ移転とは?どんな場合に域外移転になるの?
GDPR十分性認定とは?十分性認定国はどこ?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR十分性認定とは?十分性認定国はどこ?
GDPR SCC(標準契約条項)とは?楽天のBCRとの違いは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR SCC(標準契約条項)とは?楽天が承認されたBCRとの違いは?
GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRプロファイリングの定義は?GDPRの特徴を解説します
GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR忘れられる権利とは?削除権への対応はどうすればいい?
GDPRデータポータビリティの権利とは?対策は必要?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRデータポータビリティの権利とは?対策は必要?
GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPR コントローラー(管理者)とプロセッサー(処理者)とは?
GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRではオプトアウトはNGになります。明確な同意の取得方法は?
GDPRのガイドラインは?日本語訳(和訳)はこちらです。
GDPRのガイドラインは?日本語訳(和訳)はこちらです。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。 GDPRと改正個人情報保護法との違い 日本の国内法とどこが違う?
GDPR 匿名化と仮名化の違いは?暗号化はどっち?
GDPR 匿名化と仮名化の違いについて解説します。匿名化(Anonymous)と仮名化(Pseudonymisation)の違いは?暗号化はどっち? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 監督機関、データ保護機関(SA、DPAs)ってどこにある?
監督機関、データ保護監督機関(SA、DPAs)って何のこと?どこにある? GDPR(EU一般データ保護規則)でデータ侵害時などに通知義務がある監督機関についてまとめました。
GDPRでデータ主体に認められた8つの権利とは?
GDPR(EU一般データ保護規則)でデータ主体に認められた8つの権利について、解説します。 情報権、アクセス権、訂正権、削除権(忘れられる権利)、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利 があります。
GDPR モデル条項 SCCとSDPCの違いは?
SCC(標準契約条項)とSDPC(標準契約条項)の違いは? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい?
GDPR 72時間ルールとは?監督機関に通知ってどうすればいい? GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
クッキー法とも呼ばれるe-privacy規則(eプライバシー規則)とは?
クッキー法とも呼ばれるe-privacy Regulation(eプライバシー規則)とは? GDPRと同様、個人情報を保護するための規則です。GDPRを補完する規則になります。