忘れられる権利とは?

忘れられる権利とはGDPRが定める法的権利であり、EU域内の個人が自身の個人データの削除を要求することができるものです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 忘れられる権利(または消去の権利)の定義
  • 忘れられる権利が適用される場合とされない場合について説明する
  • この権利を行使する方法について説明する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

忘れられる権利とは?

「忘れられる権利」とは、組織やサービス提供者によって保存されている個人の個人データは、個人の要求に応じて消去されなければならないという概念のことです。これは、欧州連合(EU)における個人の個人データを保護する一般データ保護規則(GDPR)の下で与えられた法的権利です。ただし、忘れられる権利は絶対的な権利ではありません。EU域外の管轄区域では、必ずしも適用されず、個人がデータを削除できない付加的な状況も存在します。

アリスがフランスワインに関する月刊ニュースレターメールに登録した後で、フランスワインよりもベルギービールの方が好きだと思い、ニュースレターは自分にはもう関係ないと判断したとします。そのため、彼女はワインのニュースレターの配信登録を解除します。「忘れられる権利」では、配信停止に加えて(eプライバシー指令からも求められように)、ニュースレターの発行者に対して彼女の名前、電子メールアドレス、その他すべての個人情報を記録から削除するよう要求できることを保証するものです。

また、この権利は、検索エンジンの検索結果から特定の種類の個人情報を削除するためにも使用されています。例えば、個人は、検索結果ページから自身に関する個人情報を(一定の範囲内で)削除する権利を有し、Googleなどの検索エンジンは、その情報が表示されたページへのリンクを表示しないように要求することができます。

忘れられる権利と消去の権利の対比

この権利は、GDPRにおいて実際に「消去の権利」と呼ばれています。しかし、それにもかかわらず一般的に「忘れられる権利」と呼ばれています。

忘れられる権利の概念はGDPRよりも以前からあり、過去の判例でも採用されています。しかし、GDPRで定義されている「消去の権利」はより正確なものになっています。権利が適用される場合とされない場合の条件が含まれており、組織には削除の要求に対応するための1ヶ月というタイムラインが与えられています。

GDPRとは?

GDPR(EU一般データ保護規則)は、EU域内におけるデータ収集と処理に適用されるデータプライバシー法の枠組みです。GDPRには、データの処理、収集、取り扱いに関する多くの要件が含まれ、さらに「データ主体者」(EU内の個人を意味します)に対するいくつかの権利が定義されています。これらの権利の1つに、GDPR第17条に記載されている「消去の権利」があります。

GDPRの忘れられる権利はEU圏外でも適用されるか?

最近の裁判所の判決では、オンライン情報プロバイダー(検索エンジンなど)は、特定の管轄区域内の情報を削除するよう求められることはあっても、全世界的に削除する必要はないと指摘されています。個人は、自分のデータをEU域内の検索結果から消去することはできますが、EU域外の国でのユーザーの検索結果にはこのデータが表示されたままである可能性があります。

「忘れられる権利」を行使するには?

GDPRには、個人が忘れられる権利を行使するための具体的なプロセスは定義されていません。要求がデータ管理者または処理者に届き、一定の条件を満たす限り、それは有効な要求であるとみなされ、個人の個人データは消去されなければなりません。

個人はこのような要求を口頭または書面によって行うことができます。データ管理者または処理者が要求を受け取ると、1ヶ月以内に要求されたデータを消去するか、またはデータを消去できない理由を提示して対応する必要があります。

通常、個人は要求とともに、本人確認、消去を望む対象データ、消去の理由などの具体的な情報を提供する必要があります。

この権利を行使する理由には以下のようなものがあります。

  • 情報が収集された目的にとって、もはや必要がなくなった場合
  • 個人がデータ収集の同意を撤回した場合
  • 組織がデータをマーケティングのために使用しており、個人がこの使用に異議を申し立てた場合
  • 組織が違法にデータを収集または処理した場合
  • 組織にデータを削除する法的義務がある場合
  • 個人がデータ処理に異議を唱え、処理者がデータ処理に正当な利益を有しない場合

より詳細な情報は、GDPR第17条に記載されています。

忘れられる権利が適用されないのはどのような場合か?

個人は、いくつかの異なる状況下で、自身に関するデータを消去できない場合があります。例えば、表現の自由の権利に抵触する場合、消去の権利は適用されません。例えば、Webサイトから批判的な新聞記事を削除するために政治家が忘れられる権利を使用することはできません。その他、この権利が適用されない場合には、以下のようなものがあります。

  • 法的義務に従うためにデータが使用される場合
  • 公益に資する業務を遂行するためにデータを使用する場合
  • データが科学的、歴史的、統計的研究のための公共の利益を目的とした保管用として使用され、消去が研究を著しく損なう可能性がある場合
  • データが法的防御の一部である場合

その他にも、いくつかのケースがあります。権利が適用されない場合の全リストは、GDPR第17条に記載されています。

「忘れられる権利」と「公正な情報慣行」の関係は?

公正な情報慣行は、1970年代に米国で策定されたデータの収集と利用に関するガイドラインです。公正な情報慣行はどの法的枠組みにも属しませんが、現在施行されている多くのデータプライバシー規制は、ほぼこれに沿ったものとなっています。

そのひとつが「個人参加の原則」と呼ばれるもので、個人は自身の個人データを訂正・消去する権利など、さまざまな権利を有しているとするものです。

GDPRの下で個人は他にどのような権利を持つか?

GDPRは、個人データの利用に関して、個人に以下のような権利を与えています。

  • 知らされる権利:個人は、自身のデータがどのように収集・処理されるかについて、分かりやすい情報の提供を受けなければならない
  • データ携行の権利:個人は、自身のデータを、あるデータ管理者から別のデータ管理者に移すことができる。
  • アクセスの権利:個人は、収集した個人データのコピーを入手する権利を有する。
  • 訂正の権利:個人は、自身に関する不正確なデータを修正することができる。
  • 処理を制限する権利:特定の状況下において、個人は自身の個人データの処理方法を制限することができる。
  • 異議申し立ての権利:個人はデータの収集および処理に異議を申し立てることができ、データ管理者または処理者はデータを使用する正当な理由(ダイレクトマーケティングに関連しない理由)を提供しなければならない
  • 自動化された処理に対して異議を述べる権利:個人は、自動化されたデータ処理に基づく、法的に影響を与える決定に対して異議を申し立てることができる。

詳細についてはGDPRとは?をご覧ください。