忘れられる権利とはGDPRが定める法的権利であり、EU域内の個人が自身の個人データの削除を要求することができるものです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
「忘れられる権利」とは、組織やサービス提供者によって保存されている個人の個人データは、個人の要求に応じて消去されなければならないという概念のことです。これは、欧州連合(EU)における個人の個人データを保護する一般データ保護規則(GDPR)の下で与えられた法的権利です。ただし、忘れられる権利は絶対的な権利ではありません。EU域外の管轄区域では、必ずしも適用されず、個人がデータを削除できない付加的な状況も存在します。
アリスがフランスワインに関する月刊ニュースレターメールに登録した後で、フランスワインよりもベルギービールの方が好きだと思い、ニュースレターは自分にはもう関係ないと判断したとします。そのため、彼女はワインのニュースレターの配信登録を解除します。「忘れられる権利」では、配信停止に加えて(eプライバシー指令からも求められように)、ニュースレターの発行者に対して彼女の名前、電子メールアドレス、その他すべての個人情報を記録から削除するよう要求できることを保証するものです。
また、この権利は、検索エンジンの検索結果から特定の種類の個人情報を削除するためにも使用されています。例えば、個人は、検索結果ページから自身に関する個人情報を(一定の範囲内で)削除する権利を有し、Googleなどの検索エンジンは、その情報が表示されたページへのリンクを表示しないように要求することができます。
この権利は、GDPRにおいて実際に「消去の権利」と呼ばれています。しかし、それにもかかわらず一般的に「忘れられる権利」と呼ばれています。
忘れられる権利の概念はGDPRよりも以前からあり、過去の判例でも採用されています。しかし、GDPRで定義されている「消去の権利」はより正確なものになっています。権利が適用される場合とされない場合の条件が含まれており、組織には削除の要求に対応するための1ヶ月というタイムラインが与えられています。
GDPR(EU一般データ保護規則)は、EU域内におけるデータ収集と処理に適用されるデータプライバシー法の枠組みです。GDPRには、データの処理、収集、取り扱いに関する多くの要件が含まれ、さらに「データ主体者」(EU内の個人を意味します)に対するいくつかの権利が定義されています。これらの権利の1つに、GDPR第17条に記載されている「消去の権利」があります。
最近の裁判所の判決では、オンライン情報プロバイダー(検索エンジンなど)は、特定の管轄区域内の情報を削除するよう求められることはあっても、全世界的に削除する必要はないと指摘されています。個人は、自分のデータをEU域内の検索結果から消去することはできますが、EU域外の国でのユーザーの検索結果にはこのデータが表示されたままである可能性があります。
GDPRには、個人が忘れられる権利を行使するための具体的なプロセスは定義されていません。要求がデータ管理者または処理者に届き、一定の条件を満たす限り、それは有効な要求であるとみなされ、個人の個人データは消去されなければなりません。
個人はこのような要求を口頭または書面によって行うことができます。データ管理者または処理者が要求を受け取ると、1ヶ月以内に要求されたデータを消去するか、またはデータを消去できない理由を提示して対応する必要があります。
通常、個人は要求とともに、本人確認、消去を望む対象データ、消去の理由などの具体的な情報を提供する必要があります。
この権利を行使する理由には以下のようなものがあります。
より詳細な情報は、GDPR第17条に記載されています。
個人は、いくつかの異なる状況下で、自身に関するデータを消去できない場合があります。例えば、表現の自由の権利に抵触する場合、消去の権利は適用されません。例えば、Webサイトから批判的な新聞記事を削除するために政治家が忘れられる権利を使用することはできません。その他、この権利が適用されない場合には、以下のようなものがあります。
その他にも、いくつかのケースがあります。権利が適用されない場合の全リストは、GDPR第17条に記載されています。
公正な情報慣行は、1970年代に米国で策定されたデータの収集と利用に関するガイドラインです。公正な情報慣行はどの法的枠組みにも属しませんが、現在施行されている多くのデータプライバシー規制は、ほぼこれに沿ったものとなっています。
そのひとつが「個人参加の原則」と呼ばれるもので、個人は自身の個人データを訂正・消去する権利など、さまざまな権利を有しているとするものです。
GDPRは、個人データの利用に関して、個人に以下のような権利を与えています。
詳細についてはGDPRとは?をご覧ください。