「保有個人データ」の取り扱いは、個人情報保護法改正でどう変わる?:短期保有データの扱いにも変化(3/5 ページ)
個人情報保護法の改正で、「保有個人データ」の取り扱いはどう変わるのか? 改正のポイントと、詳しい既定の内容を解説します。
3.利用停止、消去、第三者提供の停止の請求にかかる要件の緩和
3-1.利用停止等を巡る改正前の状況
個人情報保護法上、利用停止等(利用の停止または消去)についての個人の権利行使には一定の制約が課されています。
「利用停止・消去の請求」に応じる義務を課されているのは、(1)個人情報を目的外利用したとき(個人情報保護法16条【18条】違反)や、(2)不正の手段により取得した場合(個人情報保護法17条【20条】違反)に限られています(個人情報保護法30条【35条】1項)。
また、「第三者提供の停止の請求」に応じる義務が課されるのは、「法の規定に違反して第三者提供されている場合」(個人情報保護法23条【27条】1項、24条【28条】1項違反)に限られています(個人情報保護法30条【35条】3項)。
この点については、個人情報保護委員会への相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が利用停止または消去などを行わないことへの強い不満が見られるところです。
3-2.JIS Q 15001 個人情報保護マネジメントシステム−要求事項で求められていた対応
日本において比較的多くの事業者が活用している民間の取組であるプライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム−要求事項」においては、本人の保有個人データの利用停止、消去または第三者提供の停止の請求を受けた場合は、原則として応じる義務があることとされており、自主的に個人情報保護法の水準を超えた対応が行われています。
3-3.GDPRにおける消去権(忘れられる権利)・プロファイリングにかかる権利
EUのGDPR(EU一般データ保護規則)については、旧来の「EUデータ保護指令」の下では規定のなかった、消去権(忘れられる権利)、プロファイリングにかかる規定が新たに設けられており、概要は次のとおりです。
消去権(忘れられる権利)については、本人は、一定の場合に、事業者に対して、当該本人に関する個人データを不当に遅滞なく消去させる権利が認められています(GDPR17条)。
【事業者が消去の義務を負う場合の例】(GDPR17条1項)
- 個人データの収集や取扱いの目的に関して、当該個人データが必要なくなった場合
- 本人が個人データの取扱いについての同意を撤回し、かつ、当該取扱いに関して他の法的根拠がない場合
- 本人が、第21条第1項に基づいて個人データの取扱いに対して異議を申し立て、かつ、取扱いに関して優先する他の法的根拠がない場合、または、ダイレクトマーケティングを目的とした取扱いに対して異議を申し立てる場合
- 個人データが不法に取り扱われた場合
- 個人データがEU法またはEU加盟国の国内法の義務の順守のために消去されなければならない場合
我が国では、最高裁平成29年1月31日決定・民集71巻1号63頁は、過去に児童買春で逮捕歴のある男性が、インターネット検索サイトであるグーグルの検索結果から、検索結果に表示される自分の逮捕歴に関する情報の削除を求めた仮処分命令申立事件において、最高裁は、「忘れられる権利」に言及することなく、プライバシーに属する事実を公表されない法的利益と検索結果を提供する理由などの諸般の事情を比較衡量し、検索結果の削除を認めない決定を下しました。
また、GDPRにおいて、プロファイリングについては、大きく分けて、異議を申し立てる権利(GDPR21条)と、自動的な意思決定に服さない権利(GDPR22条)が規定されています。
異議を申し立てる権利は、「公共の利益または公的権限の行使のために行われる業務の遂行」または「正当な利益の追求」を法的根拠とする、プロファイリングそのものを含む個人データの取扱いに対して、異議を申し立てる権利(GDPR21条1項)であり、この権利を行使された事業者は、本人の利益を超越する、個人データの取扱いにかかる正当化根拠などを示せない限り、プロファイリングそのものを含む個人データの取扱いを止めなければならないとされています。
なお、「正当な利益の追求」によらず、「本人同意」を法的根拠としたとしても、同意が撤回されれば削除権の対象となります(GDPR17条1項(b))。なお、ダイレクトマーケティングを目的とする個人データの取扱いに関しては、事業者の事情(取扱いにかかる正当な根拠の有無)にかかわらず、この権利の行使の対象となります(GDPR21条2項)。
また、自動的な意思決定に服さない権利(GDPR22条)については、プロファイリングを含むもっぱら(solely)自動的な個人データの取扱いに基づく意思決定に服さない権利とされ、プロファイリングそのものではなく、意思決定に服さない権利が規定されています。なお、本人との契約の締結または履行に必要な場合などは対象外であり、また、人が介在すればこの権利の対象とはならないとされています。
関連記事
- 法改正に伴うCookie対応、BtoB企業はどこまで必要? 英語ページで変えるべき? 専門家に聞くQ&A
2022年4月に迫る個人情報保護法の改正に備え、自社のCookie対応などをどこまでするべきか迷っている担当者は少なくないだろう。「BtoB企業はどこまで対応すべきか?」「英語ページと日本語ページで対応を分けるべきなのか?」などの疑問に、弁護士・ニューヨーク州弁護士の石川智也氏が回答した。 - Cookie規制って結局、何が変わるの? 2022年の改正個人情報保護法、注目すべきポイントを解説
Google ChromeなどのCookie廃止、2022年の改正個人情報保護法──Web広告やデジタルマーケティングを巡る状況は大きく変化しています。世界的な潮流から国内の影響までを解説します。 - 幹部候補か、“万年ヒラ”か キャリアの分かれ目「30代以降の配置」を、人事はどう決めている?
「育成」の観点から異動配置させる20代が過ぎると、多くの企業は「幹部候補の優秀人材」と「それ以外」の社員を選別します。人事は、そうした異動配置をどのように決めているのでしょうか。年代層別の異動配置のロジックをみていきます。 - 「優秀だが、差別的な人」が面接に来たら? アマゾン・ジャパン人事が本人に伝える“一言”
多様性を重視するアマゾン・ジャパンの面接に「極めてだが優秀だが、差別的な人」が来た場合、どのような対応を取るのか。人事部の責任者である上田セシリアさんに聞いた。 - 「優秀でも残念でもない、普通社員」の異動に、人事が関心を持たない──何が起きるのか
社員の異動を考える際、人事部が真っ先に関心を持つのは「優秀社員」と「残念社員」。その間にいる大多数の「普通社員」は後回しにされがちという実態がある。しかし、この層への取り組みを疎かにすると、ある懸念が生まれる。
© BUSINESS LAWYERS