それでは、第3章第2節の「情報及び個人データへのアクセス」の最後にあたります、第15条の「データ主体によるアクセスの権利」に入ります。
よく、データ主体の権利として第15条から第20条または第15条から第22条がまとまって説明されますので、データ主体の権利の一連の流れとしてご覧頂ければと思います。
第15条:データ主体によるアクセスの権利
1. データ主体は、管理者から、自己に関係する個人データが取扱われているか否かの確認を得る権利、並びに、それが取扱われているときは、その個人データ及び以下の情報にアクセスする権利を有する:
データ主体は、管理者に対し自己の個人データを取扱っているかどうかを確認する権利があります。
また、管理者が自己のデータを取扱っている場合には、その個人データと以下の(a)~(h)に関する情報にアクセスする権利をデータ主体は有しています。
この「取扱っている」というのは「保管」も該当するので、データ主体の個人データを保有していれば、基本的に管理者はデータ主体の権利行使に対して対応する必要があります。
(a) 取扱いの目的。
自分の個人データの取扱いの目的。
第13条第1項(c)、第14条第1項(c)にもある情報ですね。
第13条では基本的には個人データを収集する時点に、第14条では当該情報を原則取得してから1か月以内に、定められた情報をデータ主体に提供することになっていますが、第15条のアクセス権でもわざわざ規定しているということは、管理者が自身の個人データを取扱っている間であればいつでも、データ主体はその情報へのアクセスする権利を行使できるということである、というになりますね。
これ(a)以降でも第13条または第14条においてデータ主体に提供すべき情報とされていたものがありますが、それらも同様のデータ主体に与えられた権利と考えられているとお考えください。
(b) 関係する個人データの種類。
取扱っている自分の個人データの種類(どのようなデータ項目か、特別な種類の個人データを含むか、など)。
第14条第1項(d)でも定められていた情報ですね。
(c) 個人データが開示された、又は、個人データが開示される取得者若しくは取得者の類型、特に、第三国又は国際機関の取得者。
個人データの開示(提供)先、または開示(提供)予定先もしくは開示(提供)先の類型(特に第三国または国際機関への提供先)。
第13条第1項(e)や第14条第1項(e)に、よく似た内容がありますね。
(d) 可能な場合、個人データが記録保存される予定期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
可能な場合は個人データが保管される予定期間、またはそれが不可能な場合は、保管期間を決める目安となる情報。
第13条第2項(a)および第14条第2項(a)と同じ情報ですね。
(e) 管理者から、個人データの訂正又は消去を得る権利、データ主体と関係する個人データの取扱いの制限を要求する権利、又は、取扱いに対して異議を述べる権利が存在すること。
第16条以降で説明することになります、個人データの訂正または消去を得る権利、データ主体と関係する個人データの取扱いの制限を要求する権利、または、取扱いに対して異議を述べる権利があること。
第13条第2項(b)、第14条第2項(c)によく似た規定がありますね。
(f) 監督機関に異議を申立てる権利。
監督機関に異議を申し立てる権利があること。
第13条第2項(d)および第14条第2項(e)と同じ情報ですね。
(g) 個人データがデータ主体から取得されたものではない場合、その情報源に関する利用可能な全ての情報。
個人データがデータ主体から取得されたものでない場合は、その情報源に関する利用可能なすべての情報。
これは第14条第2項(f)とほぼ同じ内容ですね。
(h) プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、それが存在する場合、その決定に含まれている論理、並びに、そのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。
プロファイリングに基づく自動化された意思決定を行う場合には、以下の情報。
- プロファイリングに基づく自動化された意思決定を行う旨
- 自動化される処理の論理(アルゴリズム)
- データ主体への重要性およびデータ主体に生じると想定される結果
第13条第2項(f)および第14条第2項(g)と同じ内容ですね。
2. 個人データが第三国又は国際機関に移転される場合、データ主体は、その移転に関して、第46条による適切な保護措置について通知を受ける権利を有する。
データ主体の個人データが第46条による適切な保護措置に基づいて第三国または国際機関に移転された場合は、その保護措置についての通知を受ける権利があります。
第13条第1項(f)、第14条第1項(f)の内容によく似ていますが、第13条および第14条では第46条による移転だけでなく、第47条、第49条による移転についても触れているのに対し、第15条では第46条による移転のみにしか触れていないという違いがあります。
この第三国への移転については、別途解説できればと思います。
3. 管理者は、取扱中の個人データの複製物を提供する。データ主体から求められた追加的な複製物の提供に関し、管理者は、業務運営費用に基づいて、合理的な手数料を課金できる。データ主体が電子的な手段によって要求するときは、データ主体から別の手段によることが求められている場合を除き、その情報は、一般的に用いられる電子的な手段によって提供される。
管理者はデータ主体の求めに応じ、取扱っているデータ主体の個人データのコピーを提供しなければなりません。
その際は、合理的な範囲で手数料を請求することができます。
また、データ主体からの要求が電子的な手段によってなされた場合は、管理者の対応も、できれば電子的な手段によって対応されることが期待されています。
この辺りは第12条第5項および第12条第3項の後段と関連性があるので、よろしければご確認ください。
4. 第3項に定める複製物を取得する権利は、他の者の権利及び自由に不利な影響を及ぼしてはならない。
第3項で定められたことを履行するためにコピーを提供しようとする際に、そのコピーの提供により他の人の権利や自由に不利な影響を及ぼすことにならないようにしなければなりません。
この影響を及ぼされるかもしれない「他の者の権利」等には、営業秘密や知的財産、著作権を含みます。
ただし、これがデータ主体の権利を丸ごと拒絶する理由にはならず、他の者の権利に悪影響がでない範囲で対応することが求められています。
第15条に関連する前文に第63項がありますので、下に引用しておきます。
データ主体は、当該データ主体に関して収集された個人データにアクセスする権利をもち、そして、その取扱いの適法性を意識し、それを検証するために、容易に、かつ、合理的な間隔で、その権利を行使する権利を有するものとしなければならない。この権利は、データ主体の健康に関するデータ、例えば、疾病の診断、検査結果、治療担当医師により行われた評価並びに提供された治療行為若しくは治療介入のような情報を含むデータ主体についての医療記録中にあるデータへアクセスするデータ主体の権利を含む。それゆえ、全てのデータ主体は、特に、その個人データが取扱われる目的、可能な場合には、その個人データが取扱われる期間、その個人データの取得者、自動的な個人データの取扱いの中に含まれている論理、並びに、少なくともプロファイリングに基づく場合、そのような取扱いの結果として発生しうる事態に関し、知る権利及び連絡を受ける権利を有するものとしなければならない。可能な場合、管理者は、データ主体に対して当該データ主体の個人
一般データ保護規則(GDPR)の前文 第63項 個人情報保護委員会にる仮日本語訳
データへの直接のアクセスを提供しうる安全なシステムへのリモートアクセスを提供できるようにしなければならない。その権利は、営業秘密又は知的財産及び特にソフトウェアの著作権を含め、他者の権利又は自由に不利な影響を与えてはならない。ただし、これらの考慮は、データ主体に対して全ての情報を提供することの拒絶となるものであってはならない。管理者がデータ主体に関する情報を大規模に取扱う場合、その管理者は、その情報が提供される前に、その要求と関連する情報又は取扱行為をデータ主体が特定するように要求することができるものとしなければならない。
第15条のアクセス権には、健康に関する個人データや、検査や診療の結果といった医療記録も対象になるとされています。
日本でいう「カルテの開示」も、当然に、管理者である医療機関は、データ主体である患者の要求に応じなければならないこととされています。
以上、第15条でした。
