今回は、EUデータ保護規則（GDPR）のデータ主体の権利のうち、規則で新しく保障された「データ携行の権利」を取り上げます。英文では、Right to data portabilityと書かれており、データ・ポータビリティの権利と訳している文献が大半のようです。アメリカの医療保険に関するプライバシー・ルールであるHIPPA（Health Insurance Portability and Accountability Act of 1996）の和訳では、Portabilityは携行性と訳されています。できる限り日本語に移し替えるならば、携行という用語になるでしょう。

データ携行（データ・ポータビリティ）の権利の内容

データ携行の権利は、データ主体の自己に関する個人データのコントロールをより強化するために設けられました（前文６８）。
EUデータ保護規則は、第２０条で次のように定めています。

Article 20 Right to data portability
1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:
(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and
(b) the processing is carried out by automated means.
2.  In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.、

データ主体には、管理者に提供した自己の個人データを、構造化され一般的に利用されている機械で読み取り可能な形式で受け取る権利があり、当該管理者の妨害なしに、そのデータを他の管理者に移転する権利があります（第２０条第１項）。ただし、次の場合に限られます（第２０条第１項）。
①第６条第１項(a)または第９条第２項(a)による同意または第６条第１項(b)による契約に基づき処理がなされている場合で、かつ
②処理が自動化された手段で行われている場合

データ主体には、第１項によりデータ携行の権利を行使する場合、技術的に可能な場合には、個人データを管理者から他の管理者へ直接移転させる権利があります（第２０条第２項）。なお、管理者には、互換性のある処理システムを採用したり整備したりする義務はない（前文６８）。

他の権利との兼ね合い

データ携行の権利の行使は、第１７条を損なわないものとします（第２０条第３項）。第１７条とは削除の権利（忘れられる権利）の条項を指します。データ携行の権利は、公共の利益のために、または管理者に付与された公的権限の行使における業務の遂行に必要な処理には、適用されません。

データ携行の権利は、他者の権利および自由に不利な影響を及ぼしてはなりません（第２０条第４項）。

違反がある場合の救済

データ携行の権利に関して違反がある場合、データ主体は、監督機関に対し不服を申し立てたり（第７７条）、司法的救済を求めることができます（第７８条、第７９条）。
この不服申立てや司法的救済は、非営利団体・協会が代わって行うことができます（第８０条）。
また、管理者である企業などに、行政罰である過料を課される可能性もあります（第８３条）。
詳細は、”ＥＵデータ保護規則（GDPR）―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめましたので、参考にしてください。

２９条作業部会によるガイドライン策定

２９条作業部会は、２０１６年２月２日に、”Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR)”(一般データ保護規則（GDPR)実施のための行動計画についての宣言）を採択しています。その宣言では、EUデータ保護規則の施行のための管理者と処理者に向けたガイドラインまたは手順の提供が４つの行動の一つとして挙げられています。ガイドラインまたは手順のうち優先事項としてあげられているのは４つで、そのうちの１つがデータ携行の権利です（その他はデータ保護影響評価、認証、データ保護担当者）。
ガイドラインの公表によってより内容が明確になるものと思われます。

参考サイト

最後に、データ・ポータビリティの権利について参考になるサイトを挙げておきましょう。

• 佐々木勉：欧州におけるデータ・ポータビリティの在り方を巡る議論の動向（２０１６年４月）
• 中川隆太郎：EU一般データ保護規則とEUの挑戦－データ・ポータビリティの権利とEUのプラットフォーム対策（２０１６年６月２９日）
• 生貝直人：データポータビリティの権利について（２０１６年３月２０日）

２０１６年１０月２５日更新：違反がある場合の効果について条数の誤りを直しました。

この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。