▼データポータビリティの権利

※本記事で記載する「EU」はEU域内28ヵ国とノルウェー、アイスランド、リヒテンシュタインを加えた欧州経済領域(EEA)加盟31ヵ国の意味合いで使用します。

GDPRのユニークな部分として、データポータビリティの権利があります。これは日本の法律にはない権利で、注意が必要です。
データポータビリティの権利は、20条1項に定義されています。

データ主体は、以下の場合においては、自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利をもち、また、その個人データの提供を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。(仮訳)

要約すると、データ主体(個人)が、管理者(コントローラ)に提供した自己の個人データを、構造化され、一般的に利用されているフォーマットで受け取る権利であり、当該データを当該管理者の妨害なし他の管理者に移転する権利です。

この権利の発動条件は、処理の法的根拠が

6条1項(a)号または9条2項(a)号の同意に基づくか、6条1項(b)号による契約に基づく場合

かつ

処理が自動化された手段で行われている場合(紙など手で処理している場合は除く)

です。要点は処理の法的根拠が同意または契約の履行に限定されていることです。
つまり6条の他の法的根拠を選択する場合、データポータビリティの権利の発生を防ぐことができます。

ただし、6条1項(f)号の正当な利益を選択した場合は、データポータビリティの権利は発生しないものの、データ主体による「異議を述べる権利」が発生します。

また20条2項には、データポータビリティの権利を行使する場合、データ主体には、技術的に可能であるならば、個人データを当該管理者から他の管理者に直接移転する権利もあります。

この要点は、「技術的に可能であれば」という部分です。
当該管理者は、他の管理者への個人データ移転を実現する、ツールやAPIの開発やシステムを導入する義務があるのかというと、そうではありません。

GDPR前文(68)には、管理者は技術的に互換性のある処理システムを導入し、整備する義務は負わないとあります。

しかし、前文(68)はデータポータビリティを可能とする相互運用可能なフォーマットの開発を奨励しています。また29条作業部会(現・EUデータ保護会議)のガイドラインにも、データポータビリティの要求に対応できる手段の開発を開始すべき、と記載があります。

ただ1社で手段を開発しても、意味がないと考えられます。近い将来データポータビリティの標準規格が策定されれば、システムを導入する検討を開始してもよいと思います。そうすれば、市場の流動性は高まり、ユーザの囲い込みによる市場の硬直化を打破できるビジネスチャンスも生まれることでしょう。

実際にGoogle、Microsoft、Facebook、Twitterがデータポータビリティを実現する取り組みを始めています。(https://news.mynavi.jp/article/20180721-667712/

他には、データポータビリティの権利の行使は、17条の消去権(忘れられる権利)を妨げない(20条3項)、他社の権利及び自由に不利な影響を及ぼしてはならない(20条4項)とあります。

▼対象データ

データポータビリティの権利は、対象のデータを「自己が管理者に対して提供した自己と関係する個人データ」と定義しています。

具体的には以下のように整理されています。

分類 具体例 データポータビリティの権利の対象か
データ主体が認識しつつ、かつ、積極的に個人データを提供している場合 オンラインの入力フォームを通じて提供された個人データ
サービスまたは機器を利用することによりデータ主体により提供された観察データ 検索履歴、交通データ、位置データ、スマートウォッチで得られる心拍数データ、音楽配信サービスで購入した曲目のリスト
データ主体により提供されたデータから派生または推測された個人データ データ分析によって作り出された分析結果 ×

実務においては、管理者は複数名のデータ主体の個人データが含まれる情報を取り扱う場面も多いにあります。

こうした場合、管理者は「データ主体に関する個人データ」という文言を過度に限定して解釈すべきではない、とガイドラインには記載があります。

例えば、個人間のメッセージ交換記録などには、発信及び着信に関連する第三者の詳細なデータが含まれていることがありえます。こうした記録には、複数名の個人データが含まれているものの、それらの記録がデータ主体に(も)関連するため、データポータビリティの要求で、これらの記録を取得できるべきであると述べられています。

しかしながら、こうした記録が新たな管理者に移行される場合、この新たな管理者は第三者の権利及び自由に不利な影響を与えるような使用目的で、こうした記録を扱ってはならないと、クギを刺しています。
例えば、新たな管理者が、データ主体の連絡先ディレクトリにある他の個人データをマーケティングの目的に使用するなど、です。

▼管理者の対応

データポータビリティの権利を行使された管理者は、原則対応義務を負うが、様々な技術的な方法で対応することが可能です。

(例)

  • (データ主体がログインできるようなサービスの場合)
    データ主体に、個人データを直接ダウンロードすることができるようにする。
  • (データ主体がログインできないようなサービスの場合)
    個人情報保護法にもある、開示等の請求手続きで、データ主体に個人データを提供する。
  • (技術的に可能であれば)
    管理者から他の管理者に個人データを直接移行することができるようにする。
    その際、管理者はデータ主体または個人データの移行先である他の管理者による処理について責任を負いません。

データポータビリティの権利を行使後も、データ主体の他の権利が失われることはありません。例として、データ主体がデータポータビリティの権利行使と同時に消去権を行使した場合、管理者はデータポータビリティの権利が行使されていることを理由として、消去の実行を遅らせたりすることはできません。

▼データポータビリティの権利の情報提供

管理者は12条1項にある透明性のある情報提供をもって、データポータビリティの権利の存在を知らせなければいけません。知らせるタイミングは、「個人データが取得される時(前)」です。

■  まとめ

  • データポータビリティの権利は、処理の法的根拠が「同意」と「契約の履行」に限定される。
  • 管理者は、データポータビリティの権利の為、新たなシステムを導入する義務は負わない。
  • 管理者は、データポータビリティの権利の存在を、「個人データが取得される時(前)」に知らせなければならない。

弊社GDPRコンサルティングサービスは下記リンクをご参照下さい。
https://www.crosshead.co.jp/products/sec_all/gdpr/