EUデータ保護規則(GDPR)ーデータ主体の権利⑧:自動処理による決定の対象とならない権利/プロファイリングが明記されました
本記事では、EUデータ保護規則(GDPR)のデータ主体の権利のうち、プロファイリングを含む自動処理による個人に関する決定の対象とならない権利について簡単にまとめてみました。
Contents
自動処理による個人に関する決定の対象とならない権利の内容
自動処理による個人に関する決定の対象とならない権利は、EUデータ保護規則第22条に次のように定められています。
Article 22
Automated individual decision-making, including profiling
1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
データ主体は、同人に法的効果を生じさせるかまたは同様の重要な影響を及ぼす、プロファイリングを含む自動処理にのみ基づく決定の対象とならない権利を有しています。
プロファイリングは、EUデータ保護規則上に定義規定があり、「自然人について個人のある側面を評価するために、特に自然人の仕事の実績、経済状況、健康、個人の嗜好、関心、信頼、行動、所在または移動に関する側面を分析または予測するために、個人データの利用から成る個人データのあらゆる形態の自働処理」をいいます(第4条第4号)。
(注) 第22条の”decision”の日本語訳
第22条の条文の表題は”Automated individual decision-making, including profiling”と書かれています。「自動化された個人意思決定」と訳す文献も多いところです。EU指令にも、プロファイリングという用語はないものの同種の規定(第15条)があり、表題の”Automated individual decisions”は「自動処理による個人に関する決定」と、条文中の”a decision”は「判断」とそれぞれ訳している文献もあります(堀部政男研究室の仮訳)。プロファイリングに関する限り、日本語の意味合いからすると、”a decision”は、「判断」または「評価」という訳語がぴったりくるような印象も覚えています。このサイトでは、一応”a decision”を決定と訳しておきます。
コンピュータ技術の発達によって、アルゴリズムによる分析などで個人の行動を分析することができるようになっています。消費傾向、関心、嗜好などに合わせた行動ターゲティング広告が良い例でしょう。ある商品を購入した後、似た種類の商品の広告がしきりと表示されるのは、よく経験することです。ビジネスにとっては利益となるプロファイリングは、分析しようとすれば、個人の政治的信条や特定の疾患などの機微な情報まで広がり、個人のプライバシーを侵害するおそれを抱えています。
プロファイリングには、プラス面とマイナス面があり、どこかで線を引かなくてはなりません。
EUデータ保護規則は、データ主体に、原則としてプロファイリングの対象とならない権利を与え、一定の場合にはそれを認める例外規定を設けることにより対処しています。
自動処理による個人に関する決定が許される場合:データ主体の明示の同意など
いかなる場合も自動処理による個人に関する決定が許されないわけではありません。次の3つの場合には、自動処理による決定も許されています(第22条第2項)。
- データ主体と管理者との間の契約締結または履行に必要な場合
- 管理者が従うEU法または構成国法が、データ主体の権利・自由と正当な利益を保護するための適切な措置を備えていて、自動処理による決定を認めている場合
- データ主体の明示の同意に基づく場合
上記の1と3については、管理者はデータ主体の権利、自由、正当な利益を保護するための適切な措置を講じなければなりません(第22条第3項)。この措置として、少なくとも管理者側に人間を介在させ権利、データ主体の意見を表明する権利、決定を争う権利をデータ主体に与える必要があります(第22条第3項)。
(注)第22条第3項の日本語訳
この条文は、英文だけからだと、若干明確でないところがあるのですが、ドイツ語およびオランダ語の条文を確認すると、the right to obtain human interventionのほかに、the right to express his or her point of view およびthe right to contest the decisionがあることがわかりました。to 以下はすべてthe rightにかかり、3つの権利が記載されているようです。
データ主体の同意は、EU指令と異なり、要件が厳しくなっています。データ主体が、一般契約条件を黙認するだけでは明示の同意とはいえません。データ主体がプロファイリングに関する特定の処理に同意をしているという積極的な表示を示すチェックボックスなどの仕組みを設ける必要があります。
データ主体の同意については、”EUデータ保護規則(GDPR)-用語の定義:本人の同意が厳しくなっています!”で説明しています。
データ主体への通知
管理者は、データ主体に対し、プロファイリングを含む自動処理による決定の存在、その処理の重要性、データ主体にもたらす結果、関連する理論についての重要な情報を通知しなければなりません(第13条第2項(f)、第22条第1項・第2項)。
データ主体への通知に関する管理者の義務は、”EUデータ保護規則(GDPR)-管理者の義務:情報の通知(Information Notices)”でまとめてあります。
特別な種類の個人データ
第9条第1項にいう特別な種類の個人データについては注意が必要です。特別な種類の個人データとは、前記の記事”EUデータ保護規則(GDPR):用語の定義”で簡単に紹介しましたが、「人種もしくは民族的出自、政治的見解、宗教的もしくは哲学的信条または労働組合加入を示す個人データの処理、および遺伝子データ、自然人を同定する生体認証データ、健康に関するデータまたは自然人の性生活もしくは性的指向に関するデータ」のことをいいます。
この特別な種類の個人データに基づいて、自動処理による決定をすることはできません(第22条第4項)。ただし、データ主体が明示の同意をしている場合(第9条第2項(a))、または実質的な公共の利益のために処理が必要な場合(第9条第2項(g))で、かつデータ主体の権利・自由や正当な利益を保護する適切な措置が整っている場合は別です。この例外的な場合には、自動処理による決定ができます(第22条第4項)。
データ主体が明示の同意を与えている場合であっても、EU法または国内法がデータ主体の明示の同意によっても、特別な種類の個人データの処理をできない旨を定めている場合には、原則に戻り自動処理による決定をすることはできません(第9条第2項(a))。
また、実質的な公共の利益のために処理が必要である場合であっても、目的と比例し、データ保護の権利の本質を尊重し、データ主体の権利および基本的利益を保護するために適切で特定の措置を定めるEU法または構成国法に基づくことが前提となります(第9条第2項(g))。
違反がある場合の救済
自動処理による個人に関する決定の対象とならない権利に関し違反がある場合に、データ主体が、監督機関に対する不服を申し立てる権利(第77条)、および監督機関の決定、管理者・処理者に対する司法的救済(第78条、第79条)を求める権利があるのは、他のデータ主体の権利と同様です。
管理者である企業などに、行政罰である過料を課される可能性についても同じです(第83条)。
詳細は、”EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済“の記事でまとめてあります。