ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

忘れられる権利(EUの一般データ保護新規則提案におけるright to be forgotten)

Googleの検索予測ほか、忘れられる権利が問題となる事案が出てきた中、EUでは、既に忘れられる権利right to be forgottenを新規則提案において規定しています。


参考情報としてEUの一般データ保護新規則提案の関係箇所の和訳と原文です。
(ばーっと訳して見直していないため、不正確な点や訳語の不統一がありえます。)


第三舞台の「深呼吸する惑星」で、筆者が死亡してもその筆者の書いた文章がWeb上に残り続けるということが描かれていました。紙ファイルではなくデータでは、良い意味でも悪い意味でも記録が残り続け、そして検索も比較的容易であり、これは紙ファイルとデータの決定的違いのようにも思います。紙ファイルは保管場所が有限であり、大量になればなるほど検索性が落ちる。さらに人の記憶にいたっては、紙ファイルよりも記憶は有限であったのに対し、データとなってしまっては、事実上保管場所は無限であり、大量になっても今の技術であれば検索性はさほど落ちません。いつまでも忘れられないデータというのは、良い意味ではロマンチックなのですが、悪い意味ではちょっと気持ちが悪いかもしれません。

全てのデータが忘れられることがないとすれば、人間、一度でも間違ったことをすれば、その記録が全て残り続け、不適切な発言・行動が一生残り続けるということを前提に行動しなければならなくなるため、発言する前に、行動する前に、萎縮が生まれ、自由な発言・行動が難しくなり、表現の自由その他の自由への危険性すら有するという話を、講演で聞きました。

日本ではまだ忘れられる権利の議論があまりされていないように思いますが、今後、この論点は非常に重要になってくると感じています。

ただ、個人的感想としては、忘れられる権利よりも、第18条のデータポータビリティ権がすごいなあと思いました。



(和訳始まり)

個人データの処理に係る個人の保護及び当該データの自由な流通に関する欧州議会及び理事会規則(一般データ保護規則)の提案

  • 前文(Whereas Clause)
    • (53) 何人も、自己の個人データを訂正する権利を有し、また個人データの保有が本規則に遵守していない場合に「忘れられる権利」を有する。特に、データが既に、データの収集目的又は処理目的に照らして不必要であるか、データ主体がその処理に関して同意を撤回しているか、又はデータ主体が自己の個人データの処理に反対しているか、自己の個人データの処理が本規則に遵守していない場合、データ主体は、自己の個人データが消去され、又は処理されないという権利を有する。当該権利は、データ主体が未成年者として同意を行った場合、データ処理に係るリスクを十分認識していなかった場合、後になって個人データの削除を求める場合(特にインターネット上の個人データについて)において、特に関連するものである。但し、歴史的、統計的及び科学的調査目的のために必要な場合、公衆衛生分野において公益目的のために必要な場合、表現の自由を行使するために必要な場合、法律により要求される場合又はデータの消去の代わりにデータの処理の制限を行うことに理由が存在する場合においては、データの保有は認められる。
  • (54) オンライン環境における「忘れられる権利」を強化するため、個人データを公開するデータ管理者は、当該データを処理する第三者に対し、データ主体が当該個人データへのいかなるリンク、コピー、複製物も消去するよう要求していることを通知する義務を負うよう、消去される権利もまた、拡張されなければならない。この通知の実行を確保するため、データ管理者は、データ管理者が責任を有するデータの公表に関して、技術的措置を含むすべての合理的措置を講じなければならない。個人データに関して、データ管理者が第三者による公表を認めた場合、データ管理者は公表について責任を有すると認められるものとする。
  • 3章 データ主体の権利
    • セクション3 訂正及び消去
      • 第16条 訂正権
        • データ主体は、自己の個人データが不正確な場合にかかるデータをデータ管理者に訂正させる権利を有するものとする。データ主体は、不完全な個人データを完成させる権利(訂正文による補完を含む。)を有するものとする。
      • 第17条 忘れられる権利及び消去権
        • 1. データ主体は、特に、個人データが、データ主体が未成年であるときにデータ主体によって利用可能とされた場合、又は以下のいずれかに該当する場合に、データ管理者に自己の個人データを消去させる権利を有し、かつ、自己の個人データをさらに配布することを放棄させる権利を有するものとする。
          • (a)データが既に収集目的又は処理目的に照らし必要でない場合
          • (b)データ主体が第6条第1項(a)に基づくデータ処理に対する同意を撤回した場合、又は同意した保管期間が経過した場合、及びデータ処理の法的根拠が既に存在しない場合
          • (c)データ主体が第19条に従って個人データの処理に反対している場合
          • (d)データ処理が他の理由により本規則に遵守していない場合
        • 2. 第1項に規定するデータ管理者が個人データを公開した場合、データ管理者は、データ管理者が責任を有するデータの公表に関して、当該データを処理する第三者に対し、データ主体が当該個人データへのいかなるリンク、コピー、複製物も消去するよう要求していることを通知するために、技術的措置を含むすべての合理的措置を講じなければならない。個人データを公開するデータ管理者は、個人データに関して、データ管理者が第三者による公表を認めた場合、データ管理者は公表について責任を有すると認められるものとする。
        • 3. データ管理者は、下記のために個人データの保管が必要な範囲を除き、遅滞なく消去しなければならない。
          • (a) 第80条に従って表現の自由を行使するため
          • (b) 第81条に従った公衆衛生分野における公益目的のため
          • (c) 第83条に従った歴史的、統計的及び科学的調査目的のため
          • (d) データ管理者が服する、連合又は加盟国法により個人データを保有する法的義務を遵守するため。加盟国法は、個人データの保護のための本旨に関し、公益目的に適合しなければならず、適法な目的と均衡がとれていなければならない。
          • (e) 第4項に規定する場合
        • 4. 以下の場合は、消去に代わり、データ管理者は個人データの処理を制限しなければならない。
          • (a) データ主体が個人データの正確性を争っている場合に、データ管理者がデータの正確性を検証することができる期間
          • (b) データ管理者がもはやその業務達成のために個人データ必要としないものの、証明目的のために保持しなければならない場合
          • (c) データ処理が不法で、データ主体がその消去に異議を唱え、代わりに使用制限を要求している場合
          • (d) データ主体が、第18条第2項に従った別のデータ処理自動化システムに個人データを移すことを要求している場合
        • 5. 第4項に規定する個人データは、保管の例外に服しつつ、証明目的のためだけに、又は他の自然人若しくは法人の権利の保護又は公益目的のためだけに処理することができる。
        • 6. 個人データの処理が第4項に従って制限される場合、データ管理者は、処理制限を実行(?)する前に、データ主体に対し通知しなければならない。
        • 7. データ管理者は、個人データの消去期限及び/又はデータ保管の必要性に係る定期的レビューの期限の遵守を確保するための仕組みを構築しなければならない。
        • 8. 消去が実行された場合、データ管理者は当該個人データを処理してはならない。
        • 9. 委員会は、以下を特定するため、第86条に従い指定された行為を行うために権限を付与されなければならない。
          • (a) 特定の分野及び特定のデータ処理状況下における第1項各号の基準及び要件
          • (b) 第2項に規定する公表コミュニケーションサービスから個人データのリンク、コピー又は複製物を削除するための条件(?、原文→the conditions for deleting links, copies or replications of personal data from publicly available communication services as referred to in paragraph 2)
          • (c) 第4項に規定する個人データ処理の基準及び条件

(和訳おわり)


(原文はじまり)

  • (53) Any person should have the right to have personal data concerning them rectified and a 'right to be forgotten' where the retention of such data is not in compliance with this Regulation. In particular, data subjects should have the right that their personal data are erased and no longer processed, where the data are no longer necessary in relation to the purposes for which the data are collected or otherwise processed, where data subjects have withdrawn their consent for processing or where they object to the processing of personal data concerning them or where the processing of their personal data otherwise does not comply with this Regulation. This right is particularly relevant, when the data subject has given their consent as a child, when not being fully aware of the risks involved by the processing, and later wants to remove such personal data especially on the Internet. However, the further retention of the data should be allowed where it is necessary for historical, statistical and scientific research purposes, for reasons of public interest in the area of public health, for exercising the right of freedom of expression, when required by law or where there is a reason to restrict the processing of the data instead of erasing them.
  • (54) To strengthen the 'right to be forgotten' in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform third parties which are processing such data that a data subject requests them to erase any links to, or copies or replications of that personal data. To ensure this information, the controller should take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible. In relation to a third party publication of personal data, the controller should be considered responsible for the publication, where the controller has authorised the publication by the third party.
  • CHAPTER III RIGHTS OF THE DATA SUBJECT
    • SECTION 3 RECTIFICATION AND ERASURE
      • Article 16 Right to rectification
        • The data subject shall have the right to obtain from the controller the rectification of personal data relating to them which are inaccurate. The data subject shall have the right to obtain completion of incomplete personal data, including by way of supplementing a corrective statement.
      • Article 17 Right to be forgotten and to erasure
        • 1. The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies:
          • (a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
          • (b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;
          • (c) the data subject objects to the processing of personal data pursuant to Article 19;
          • (d) the processing of the data does not comply with this Regulation for other reasons.
        • 2. Where the controller referred to in paragraph 1 has made the personal data public, it shall take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible, to inform third parties which are processing such data, that a data subject requests them to erase any links to, or copy or replication of that personal data. Where the controller has authorised a third party publication of personal data, the controller shall be considered responsible for that publication.
        • 3. The controller shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary:
          • (a) for exercising the right of freedom of expression in accordance with Article 80;
          • (b) for reasons of public interest in the area of public health in accordance with Article 81;
          • (c) for historical, statistical and scientific research purposes in accordance with Article 83;
          • (d) for compliance with a legal obligation to retain the personal data by Union or Member State law to which the controller is subject; Member State laws shall meet an objective of public interest, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued;
          • (e) in the cases referred to in paragraph 4.
        • 4. Instead of erasure, the controller shall restrict processing of personal data where:
          • (a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy of the data;
          • (b) the controller no longer needs the personal data for the accomplishment of its task but they have to be maintained for purposes of proof;
          • (c) the processing is unlawful and the data subject opposes their erasure and requests the restriction of their use instead;
          • (d) the data subject requests to transmit the personal data into another automated processing system in accordance with Article 18(2).
        • 5. Personal data referred to in paragraph 4 may, with the exception of storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of another natural or legal person or for an objective of public interest.
        • 6. Where processing of personal data is restricted pursuant to paragraph 4, the controller shall inform the data subject before lifting the restriction on processing.
        • 7. The controller shall implement mechanisms to ensure that the time limits established for the erasure of personal data and/or for a periodic review of the need for the storage of the data are observed.
        • 8. Where the erasure is carried out, the controller shall not otherwise process such personal data.
        • 9. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying:
          • (a) the criteria and requirements for the application of paragraph 1 for specific sectors and in specific data processing situations;
          • (b) the conditions for deleting links, copies or replications of personal data from publicly available communication services as referred to in paragraph 2;
          • (c) the criteria and conditions for restricting the processing of personal data referred to in paragraph 4.

(原文おわり)