第17条の消去の権利についてです。
英語では「Right to erasure」とか「Right to be forgotten」、日本語では「削除権」とか「忘れられる権利」などと呼ばれています。
この権利に基づき、Googleに対し、自身に関する検索結果を表示しないように要請する権利を欧州司法裁判所が認め、削除を命じる判決を出したことで有名になったこともあり、GDPRの特徴としてよく引用されています(GDPR制定前のDirectiveの時代から存在していたものです)。
ただ、よく誤解されているのですが、データ主体が要求すれば必ず削除されるものではありません。
では、その中身を見ていきましょう。
第17条:消去の権利(「忘れられる権利」)
1. 以下の根拠中のいずれかが適用される場合、データ主体は、管理者から、不当に遅滞することなく、自己に関する個人データの消去を得る権利をもち、また、管理者は、不当に遅滞することなく、個人データを消去すべき義務を負う
以下の(a)から(f)の根拠のいずれかに該当する場合、データ主体は、管理者から、不当に遅れることなく、自己に関する個人データを消去してもらう権利をもち、また、管理者は、不当に遅れることなく、その個人データを消去する義務があります。
(a) その個人データが、それが収集された目的又はその他の取扱いの目的との関係で、必要のないものとなっている場合。
個人データが収集された目的や、その他取扱わなければならない目的から考えて、その個人データが必要とないものになっている場合。
(b) そのデータ主体が、第6条第1項(a)又は第9条第2項(a)に従ってその取扱いの根拠である同意を撤回し、かつ、その取扱いのための法的根拠が他に存在しない場合。
個人データの取扱いの法的根拠が第6条第1項(a)や第9条第2項(a)の「データ主体の同意」に基づいている場合は、データ主体がその同意を撤回した場合には、管理者はデータ主体の個人データを取扱う法的根拠を失うため、他に取扱うための法的根拠がなければ削除しなければなりません。
(c) そのデータ主体が、第21条第1項によって取扱いに対する異議を述べ、かつ、その取扱いのための優先する法的根拠が存在しない場合、又は、第21条第2項によって異議を述べた場合。
第21条(異議を述べる権利)第1項にもとづき異議を述べ、かつ、その取扱いのための優先する法的根拠が存在しない場合、または、第21条第2項(ダイレクトマーケティングの場合)にもとづき異議を述べた場合。
(d) その個人データが違法に取扱われた場合。
そのままですが、個人データが違法に取扱われた場合。
日本の個人情報保護法でも、個人情報取り扱い事業者による違法な取扱いがあった場合には、本人が利用停止または消去を請求することができるのと近いですね。
(e) その個人データが、管理者が服するEU法又は加盟国の国内法の法的義務を遵守するために消去されなければならない場合。
GDPR以外の、管理者が服する法律を遵守するために削除されなければならない場合。
(f) その個人データが、第8条第1項に定める情報社会サービスの提供との関係において収集された場合。
第8条第1項で定めてられている情報社会サービスの提供に関連して収集された子どもの個人データの場合。
なお、子どもの時の同意は、大人になった後でも(f)にもどつき削除権を行使することができます。
以上の第1項については、前文第65項が参考になると思います(特に情報社会サービスにおける子どもの同意の考え方について)ので、以下に引用します。
あるデータを保持することが、管理者が服すべき本規則又は EU 法若しくは加盟国の国内法の違反行為となる場合、データ主体は、当該データ主体に関する個人データを訂正させる権利及び「忘れられる権利」をもつものとしなければならない。特に、データ主体は、当該個人データを収集する若しくはその他の取扱いをする目的との関連においてその個人データが必要なくなった場合、データ主体が同意を撤回した場合、若しくは、自己に関する個人データの取扱いに対して異議を述べる場合、又は、データ主体の個人データの取扱いが本規則を何ら遵守するものではない場合において、当該個人データの個人データを消去させ、取扱われないようにさせる権利を有するものとしなければならない。その権利は、特に、データ主体が、子どもの時に、その取扱いに含まれるリスクについて完全に理解しないまま自身の同意を与えたけれども、後になって、そのような個人データの削除、特にインターネット上のデータの削除を望むようになった場合において関連性がある。データ主体は、当該データ主体が既に子どもではないという事実とは無関係に、その権利を行使することができるものとしなければならない。ただし、表現及び情報伝達の自由の権利の行使のために必要な場合、法律上の義務を遵守するために必要な場合、公衆衛生の領域における公共の利益を法的根拠として、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要な場合、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために必要な場合、又は、訴訟の提起若しくは攻撃防御のために必要がある場合には、そのためにさらに個人データを保持することを適法としなければならない。
一般データ保護規則(GDPR)の前文 第65項 個人情報保護委員会にる仮日本語訳
2. 管理者が個人データを公開のものとしており、かつ、第1項によって、その個人データを消去すべき義務を負っている場合、その管理者は、利用可能な技術及びその実装費用を考慮に入れた上で、技術的な手段を含め、その個人データを取扱いしている管理者に対して、そのデータ主体が、そのデータ主体の個人データへのリンク又はそのコピー若しくは複製物が、その管理者によって消去されることを要求した旨の通知をするための合理的な手立てを講ずる。
管理者が個人データをパブリックに公開した場合(例えばネット上などに)で、かつ、その管理者が第1項の消去義務を負った場合は、その「公開した個人データ」を得て取扱いはじめた別の管理者に対しても、データ主体が「公開された個人データ」に関するリンクやコピーなどの消去を求めていることを通知するために、利用可能な技術とコストを考慮して、公開した管理者は合理的な手立てを取らないといけないとされています。
「公開した個人データ」を取扱いはじめた別の管理者に対して、データ主体による削除権の行使に応じて消去させることまでの義務は、公開した管理者に課されていませんが、せめてデータ主体が削除権を行使していることぐらい通知できるようにしておくことが求められている、といった感じですね。
実際、誰もがアクセスできるような形で公開した場合は、「公開した個人データ」を取扱いはじめた管理者がどこにいるかは分からないので、日本の個人情報保護法でいう「公表」はできても「通知」は困難なような気がします。
3. 第1項及び第2項は、以下のいずれかのために取扱いが必要となる場合、その範囲内で、適用されない。
第1項および第2項で求めらえている削除権の要件は、以下の場合は例外になります。
(a) 表現及び情報伝達の自由の権利の行使のため。
表現や情報伝達の自由の権利の行使のため。
これがあったら、何でも表現の自由や知る権利を理由に、削除権が行使できなくならないかと思ってしまいます…。
(b) 管理者が服するEU法又は加盟国の国内法により取扱いをすべき法的義務の遵守のため、又は、公共の利益において、若しくは、管理者に与えられた公的な権限の行使において行われる職務の遂行のため。
管理者が服する他の法律を遵守するため、または公共の利益、もしくは管理者に与えられた公的な権限の行使において行われる職務遂行のため。
(c) 第9条第2項(h)及び(i)並びに第9条第3項に従う公衆衛生の分野における公共の利益上の理由のため。
第9条第2項(h)および同項(i)の医療や治療、医療技術の向上に関する文脈や、第9条第3項に従う公衆分野における公共の利益上の理由のため。
(d) 第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的、又は、統計の目的のため。ただし、第1項に定める権利が、当該取扱いの目的を達成できないようにしてしまうおそれがある場合、又は、それを深刻に阻害するおそれがある場合に限る。
第89条第1項に従い、公共の利益における保管の目的、学的研究若しくは歴史的研究の目的、又は、統計の目的のためであり、かつ、第1項に定める権利により目的が達成できない、または深刻に阻害する恐れがある場合。
(e) 訴えの提起、攻撃防御のため。
法的な訴えの提起や防御のため。
以上、第17条でした。
