個人情報保護法上、利用停止等(利用の停止または消去)についての個人の権利行使には一定の制約が課されています。
「利用停止・消去の請求」に応じる義務を課されているのは、(1)個人情報を目的外利用したとき(個人情報保護法16条【18条】違反)や、(2)不正の手段により取得した場合(個人情報保護法17条【20条】違反)に限られています(個人情報保護法30条【35条】1項)。
また、「第三者提供の停止の請求」に応じる義務が課されるのは、「法の規定に違反して第三者提供されている場合」(個人情報保護法23条【27条】1項、24条【28条】1項違反)に限られています(個人情報保護法30条【35条】3項)。
この点については、個人情報保護委員会への相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が利用停止または消去などを行わないことへの強い不満が見られるところです。
日本において比較的多くの事業者が活用している民間の取組であるプライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム−要求事項」においては、本人の保有個人データの利用停止、消去または第三者提供の停止の請求を受けた場合は、原則として応じる義務があることとされており、自主的に個人情報保護法の水準を超えた対応が行われています。
EUのGDPR(EU一般データ保護規則)については、旧来の「EUデータ保護指令」の下では規定のなかった、消去権(忘れられる権利)、プロファイリングにかかる規定が新たに設けられており、概要は次のとおりです。
消去権(忘れられる権利)については、本人は、一定の場合に、事業者に対して、当該本人に関する個人データを不当に遅滞なく消去させる権利が認められています(GDPR17条)。
我が国では、最高裁平成29年1月31日決定・民集71巻1号63頁は、過去に児童買春で逮捕歴のある男性が、インターネット検索サイトであるグーグルの検索結果から、検索結果に表示される自分の逮捕歴に関する情報の削除を求めた仮処分命令申立事件において、最高裁は、「忘れられる権利」に言及することなく、プライバシーに属する事実を公表されない法的利益と検索結果を提供する理由などの諸般の事情を比較衡量し、検索結果の削除を認めない決定を下しました。
また、GDPRにおいて、プロファイリングについては、大きく分けて、異議を申し立てる権利(GDPR21条)と、自動的な意思決定に服さない権利(GDPR22条)が規定されています。
異議を申し立てる権利は、「公共の利益または公的権限の行使のために行われる業務の遂行」または「正当な利益の追求」を法的根拠とする、プロファイリングそのものを含む個人データの取扱いに対して、異議を申し立てる権利(GDPR21条1項)であり、この権利を行使された事業者は、本人の利益を超越する、個人データの取扱いにかかる正当化根拠などを示せない限り、プロファイリングそのものを含む個人データの取扱いを止めなければならないとされています。
なお、「正当な利益の追求」によらず、「本人同意」を法的根拠としたとしても、同意が撤回されれば削除権の対象となります(GDPR17条1項(b))。なお、ダイレクトマーケティングを目的とする個人データの取扱いに関しては、事業者の事情(取扱いにかかる正当な根拠の有無)にかかわらず、この権利の行使の対象となります(GDPR21条2項)。
また、自動的な意思決定に服さない権利(GDPR22条)については、プロファイリングを含むもっぱら(solely)自動的な個人データの取扱いに基づく意思決定に服さない権利とされ、プロファイリングそのものではなく、意思決定に服さない権利が規定されています。なお、本人との契約の締結または履行に必要な場合などは対象外であり、また、人が介在すればこの権利の対象とはならないとされています。
© BUSINESS LAWYERS
Special
PR注目記事ランキング