欧州連合の画期的な出来事の中で最も複雑な話題の一つ 一般的なデータ保護規則 GDPR(GDPR)は、忘れられる権利、あるいは消去権とも呼ばれる「忘れられる権利」です。一見すると、その概念はシンプルに見えます。個人は、データ管理者に個人情報を提供した場合、その個人情報の削除を要求できる、つまり「忘れられる」可能性があるのです。
しかし、サーバー、人、地域などを越えて情報が共有される接続されたデータの世界では、「忘れられる権利」は複雑な規制であり、多くの企業がつまずくことになる。 GDPRの実装この規則の道徳的および哲学的影響は別の話題ですが、この記事ではこの権利を理解し、それがいつどこで適用されるかを説明します。
個人データの役割
まず最初に留意すべき点は、これは絶対的な権利ではないということです。消去権または忘れられる権利は、特定の条件を満たす個人にのみ与えられます。 GDPR規則第17条 言います:
データ主体は、管理者から自己に関する個人データの消去を遅滞なく取得する権利を有し、管理者は、以下のいずれかの事由が適用される場合、遅滞なく個人データを消去する義務を負う。
- 個人データが、収集またはその他の処理の目的に関連して不要になった場合。
- データ主体が、(a)項に基づいて処理の根拠となる同意を撤回した場合 記事6(1)または(a)の 記事9(2)その他、処理の法的根拠がない場合
- データ主体は、以下の方法に従って処理に異議を申し立てる。 記事21(1)処理に優先する正当な理由がない場合、またはデータ主体が以下のいずれかの方法に従って処理に異議を唱える場合 記事21(2);
- 個人データが違法に処理された場合
- 個人データは、管理者が従うEU法または加盟国の法律上の義務を遵守するために消去される必要がある場合。
- 個人データは、以下に記載する情報社会サービスの提供に関連して収集されたものである。 記事8とします。
満たすべき基準
この規定により、個人が勝手に忘れられる権利を要求することはできないことが明確になります。忘れられる権利を要求するには、いくつかの基準を満たす必要があります。例えば、個人データが収集目的に関連して不要になった、同意が撤回された、などです。これは、企業が忘れられる権利の要求を検討する際に留意すべき点です。
さらに、同条では、以下の場合には企業は要請に応じる必要がないことも明らかにしている。
- 表現の自由と情報の自由の権利を行使するため
- 法的義務の遵守のため
- 公衆衛生分野における公共の利益のため
- 公益目的、科学的または歴史的研究目的、または統計目的のアーカイブ目的のため
- 法的請求の確立、行使、または防御のため。
したがって、企業は GDPR ユーザーの忘れられる権利の遵守も含まれる要件については、本条に規定された条項に従って運用する必要があります。GDPRは単なるセキュリティコンプライアンスにとどまらず、法的および社会的影響の両方を伴う規制であることを認識することが重要です。
