日本語 English

モノリス法律事務所

弁護士法人 モノリス法律事務所03-6262-3248平日10:00-18:00(年末年始を除く)

法律記事MONOLITH LAW MAGAZINE

IT・ベンチャーの企業法務

ホーム>法律記事 > IT・ベンチャーの企業法務>GDPR第17条「消去の権利」とウェブ上のコンテンツの削除請求権

GDPR第17条「消去の権利」とウェブ上のコンテンツの削除請求権

IT・ベンチャーの企業法務

EU圏では、一度インターネット上に掲載されてしまった情報の削除は、判例法上、「忘れられる権利」と整理され、一般データ保護規則(GDPR)が定める「消去の権利」(第17条)として、明文上の権利となりました。

本記事では、GDPRの「消去の権利」が、どのようなウェブサイト上のどのようなコンテンツに対して、どのような条件下で機能するのかを、具体的な条文の根拠に基づき解説します。さらに、日本の法律や裁判実務とGDPRの違いを比較検討することで、EUのインターネット空間における法的リスクとコンプライアンスの要点を解説します。

GDPR「消去の権利」(第17条)の法的要件

GDPRは、データ主体(個人)に対し、自己に関する個人データの消去をデータ管理者、すなわちウェブサイト運営者などに請求する権利を、明確に認めています。この権利の法的根拠は、GDPR第17条第1項です。この条文は、データ管理者が、以下のいずれかの根拠に該当する場合、個人データを「不当な遅滞なく」消去する義務を負うと定めています。

データ主体は、自己に関する個人データの消去を不当な遅滞なくデータ管理者から得る権利を有し、かつ、データ管理者は、以下の根拠のいずれかに該当する場合、不当な遅滞なく個人データを消去する義務を負う。
(a) 当該個人データが、それが収集されまたはその他処理された目的に関連してもはや必要でなくなった場合
(b) データ主体が、GDPR第6条第1項(a)または第9条第2項(a)に基づき処理が行われた同意を撤回した場合であって、当該処理の他の法的根拠が存在しない場合
(c) データ主体がGDPR第21条第1項に基づき処理に異議を唱え、当該処理の優越する正当な根拠が存在しない場合、またはデータ主体がGDPR第21条第2項に基づき処理に異議を唱えた場合
(d) 当該個人データが不法に処理された場合
(e) 当該個人データが、データ管理者が従う連合または加盟国の法律上の義務を遵守するために消去されなければならない場合
(f) 当該個人データが、GDPR第8条第1項に記載された情報社会サービスの提供に関連して収集された場合

GDPR第17条第1項

これらの要件は、ウェブサイトに掲載されたコンテンツに直接適用されます。ただ、17条1項自体が他の条文を参照する構造になっているので、以下、他の条項の内容を前提に各号について解説します。

まず、第17条第1項(b)に関連して、GDPR第6条第1項(a)は、データ処理が「データ主体が1つまたは複数の特定の目的のために個人データの処理に同意を与えた場合」に適法となることを定めています。また、GDPR第9条第2項(a)は、健康データや人種・民族的出自など、GDPRが「特別の種類の個人データ」と定める情報の処理について、原則禁止としつつも、データ主体がその処理に「明示的な同意」を与えた場合に限り適法となる例外を設けています。ウェブサイト運営者がユーザーから取得した個人データが、当初の同意が撤回されたにもかかわらず保持されている場合、他の法的根拠がない限り、GDPR第17条第1項(b)の消去義務が発生します。

さらに、第17条第1項(c)に関連して、GDPR第21条第1項は、データ主体が特定の状況、例えば、データ管理者の正当な利益に基づくデータ処理に異議を唱える権利を定めており、GDPR第21条第2項は、ダイレクトマーケティング目的での個人データ処理に対する絶対的な異議権を保障しています。データ主体がこれらの異議を唱えれば、21条1項に関連して「優越する正当な根拠」が存在しない限り、データ管理者はその目的でデータを処理することをやめなければなりません。

最後に、第17条第1項(f)に関連して、GDPR第8条第1項は、子どもに対する情報社会サービス(オンラインサービス)の提供に関連して収集されたデータについて、16歳未満の子どものデータ処理は、親権者の同意がない限り違法となると定めており、親権者の同意に基づいて提供されたサービスに関するデータには消去の権利が適用されます。

GDPRがこのような具体的な消去の根拠を法律で明示していることは、日本の法律におけるプライバシー侵害や名誉毀損に基づく削除請求とは大きく異なります。日本の法制度では、削除請求は個別の状況に応じた裁判所の判断に委ねられることが一般的ですが、GDPRはデータ管理者にこれらの要件に基づき、積極的にデータ管理の責任を果たすことを求めるものです。

GDPR第17条を巡る裁判例

GDPR第17条を巡る裁判例

GDPR第17条の適用については、欧州連合司法裁判所(CJEU)や加盟国の裁判所の判断を通じて、その具体的な適用範囲が示されています。

例えば、欧州連合司法裁判所(CJEU)が2017年3月9日の判決(ケースC-398/15)で判断を示したManni事件は、ある人物が、自身が以前経営していた会社の破産情報が掲載された商工会議所の公的レジスタからの個人データ消去を求めた事案です。この公的レジスタへの情報開示は法律によって義務付けられており、第三者の利益保護と法的安定性を確保する上で重要であるとされました。裁判所は、個人の商業的利益を理由とする消去の権利よりも、法律に基づいた情報公開と第三者の利益という公益の方が優越すると判断し、消去の権利を認めませんでした。

この判例は、GDPRの「消去の権利」が絶対的なものではなく、公的記録や公益との間で慎重な衡平考量が行われることを示すものです。なお、CJEUとは、EU加盟国の司法制度とは異なる独自の機能を持つ、EU法の統一的な解釈と適用を確保するためのEUの最高裁判所であり、その判決は、原則的にEU全域に法的効力を及ぼします。

同様に、ドイツのフランクフルト高等地方裁判所が2018年9月6日の判決(事件番号16 U 193/17)で判断を示した事案では、大手慈善団体の元専務理事が、自身の健康に関する情報が含まれたニュース記事の検索結果の削除を求めましたが、裁判所は健康データという機密性の高い情報であるにもかかわらず、表現の自由という公共の利益が優越すると判断して請求を退けました。これは、後述するように、GDPRが「表現の自由及び情報の自由の権利の行使のため」という明確な例外を定めていることを裏付ける判断です。

さらに、CJEUが2022年12月8日に判決(ケースC-460/20)を下した事案では、投資会社の経営者2人が、自らを批判する記事へのリンクや、検索結果に表示されるサムネイル写真の削除をGoogleに求めたケースで、裁判所は個人側が情報の「明白な不正確性」を証明する責任を負うべきだと判断しています。ただし、データ主体に過度な負担を課さないよう、合理的に要求できる証拠の提示で足りるとも述べており、削除請求のハードルを明確にしています。

また、最近のCJEUの判決(ケースC-46/23、2024年3月14日判決)では、個人からの直接的な請求がなくとも、監督機関が違法に処理された個人データの消去をデータ管理者に命じることができるいう判断が示されています。これは、GDPRに基づくデータ管理者の消去義務が、単なる受動的な対応ではなく、より能動的な責任であることを強調するものです。

これらの裁判例は、GDPR第17条の適用が、各事案の特性(情報の種類、ウェブサイトの性質、公共性の有無など)に応じて、個人の権利と公共の利益を慎重に比較衡量して判断されるべきものであり、絶対的な削除権を保障するものではないという共通の方向性を示すものだと言えるでしょう。

GDPRにおける拡散した個人データに対する「合理的な措置」の義務

GDPR第17条の規定は、単に自社のウェブサイトからのデータ削除に留まりません。ウェブサイト運営者が個人データを公にした場合、GDPR第17条第2項は、さらなる義務を課しています。

データ管理者が個人データを公にしており、かつ、第1項に基づき当該個人データを消去する義務を負っている場合、当該データ管理者は、利用可能な技術および実施コストを考慮し、他の個人データを処理しているデータ管理者に対し、当該個人データへのあらゆるリンク、そのコピーまたは複製物の消去をデータ主体が要求した旨を通知するために合理的な措置(技術的措置を含む)をとらなければならない。

GDPR第17条第2項

この条文は、ウェブサイトに投稿された個人データが他のウェブサイトに転載されたり、ソーシャルメディアで共有されたりして拡散した場合、元のウェブサイト運営者にはその拡散を食い止めるための措置を講じる責任があることを示しています。これは、インターネット上の情報拡散の現実を強く意識したGDPR特有の規定です。

この義務を果たすために、ウェブサイト運営者は、転載元となる他のウェブサイトや検索エンジン、SNSサービスなどに対し、データ主体からの消去請求があった旨を通知する必要があります。この措置には、技術的な対応、例えば自動通知システムの構築も含まれますが、その程度は「利用可能な技術」や「実施コスト」を考慮して判断されます。無限の責任を負うものではありませんが、自社のウェブサイトの外で生じる事象に対して、データ管理者が積極的な役割を担うべきであるというGDPRの思想が読み取れます。日本の法律にはこのような規定はなく、ウェブサイト運営者は自サイト内の情報管理に責任を持つことが一般的です。この点で、GDPRは日本の法制度よりもはるかに広い範囲の責任をデータ管理者に負わせていると言えます。

GDPRにおける「消去の権利」と「表現の自由」の均衡

「消去の権利」は絶対的なものではありません。GDPR第17条第3項は、特定の状況下で消去義務が適用されない例外を定めており、その中でもウェブサイトコンテンツに関連して特に重要となるのが、「表現の自由及び情報の自由の権利の行使のため」という例外です。

第1項および第2項は、処理が以下の目的のために必要である限度においては、適用されない。
(a) 表現の自由及び情報の自由の権利の行使のため

GDPR第17条第3項

この規定は、ジャーナリズム活動や公共の利益に関する報道、論評サイトなどがこれに該当する余地があることを示しています。例えば、政治家の不正に関する報道記事のように、その内容が公共の利益に資する場合、個人データが含まれていても、個人の消去請求には原則として応じる義務はありません。

削除の可否は、個人のプライバシー権と公共の利益(表現の自由、情報へのアクセス権)を慎重に比較衡量して判断されます。この均衡を判断するにあたっては、当該個人が公人であるか、情報の時事性や陳腐化の程度、公共性の有無などが考慮されることになります。これは、GDPRが個人のプライバシーを絶対視するのではなく、民主主義社会の根幹をなす「表現の自由」や「知る権利」とのバランスを重視していることを示しています。この均衡の考え方は、日本の裁判所がプライバシー侵害の可否を判断する際に採用する「衡平考量」という概念と類似しており、この点においてGDPRと日本法の考え方に共通点があると言えるでしょう。

GDPRにおける検索エンジンからの削除(デリスティング)

検索エンジンからの削除(デリスティング)

なお、本記事の主題はウェブサイトからの直接削除ですが、検索エンジンの検索結果からの削除(デリスティング)との違いについても、簡潔に補足します。

2014年のGoogle Spain事件において、欧州連合司法裁判所(CJEU)は、検索エンジン事業者も個人データの「管理者」にあたると判断し、特定の条件下で検索結果の削除(デリスティング)を命じることができるとしました。

しかし、このデリスティングは、ウェブサイトに掲載されたコンテンツそのものを消去するわけではありません。あくまで検索結果から特定のリンクを非表示にする措置であり、ウェブサイトに直接アクセスすれば、コンテンツは依然として閲覧可能です。一方、GDPR第17条に基づく「消去の権利」は、ウェブサイト運営者に対し、コンテンツそのものの物理的な削除を求めるものであり、この点が両者の違いとなります。

関連記事:EUの「忘れられる権利」とGoogle Spain判決・GDPRの関係

GDPRと日本の法制度との比較

日本の法制度におけるウェブサイトからの削除請求は、EUのGDPRとは異なる法的構造と手続によって行われます。

日本では、ウェブサイト上のコンテンツ削除は、主に情報流通プラットフォーム対処法(旧プロバイダ責任制限法)に基づいて、名誉毀損やプライバシー侵害を理由に請求されます。この場合、まずはウェブサイト運営者に対する任意の「送信防止措置依頼」を行い、運営者がこれに応じない場合には、裁判所に対する「仮処分命令申立」を行うのが通例です。

また、削除の判断基準においても、日本の最高裁判例にはEUとの差異が見られます。

Google検索結果削除事件(最高裁平成29年1月31日決定)では、裁判所は、検索結果の削除を認める基準を、「公表されない法的利益が、当該情報を検索結果として提供し続ける理由に優越することが明らかな場合」と判断しました。これは、削除を認めるには非常に高いハードルを課すものでした。

一方で、Twitter記事削除事件(最高裁令和4年6月24日判決)では、公表されない法的利益が、ツイートを一般の閲覧に供し続ける理由に優越する場合に削除を認めました。この事件では、旅館の女性用浴場に侵入したとして逮捕され、罰金刑に処されたX氏が、逮捕から約8年後にツイッター記事の削除を求めたものです。マスコミ報道の記事が既に削除されていたこと、逮捕歴が刑の執行完了によって効力を失っていたこと、そしてX氏が公的な立場にないことなどが考慮されました。

この2つの最高裁判例で採用された判断基準が「優越することが明らか」と「優越する」とで異なっていることから、日本では、「コンテンツ自体の削除」よりも「検索エンジンからの削除」の方がハードルが高い、と理解されています。

一方、EUでは、「検索エンジンからの削除(デリスティング)」は、本記事で解説した「(コンテンツ自体の)消去」よりも、ハードルが低いと考えられています。

まとめ

GDPR第17条に基づくウェブサイトコンテンツの「消去の権利」は、日本の法制度や裁判実務とは異なる、独自の要件と重い義務をデータ管理者に課すものです。特に、データ主体が持つ「権利」としての消去請求権、そして公開された個人データの拡散防止義務は、日本の情報流通プラットフォーム対処法(旧プロバイダ責任制限法)にはない、GDPR特有の重要な点です。

近年、欧州連合司法裁判所(CJEU)は、データ主体の請求がなくとも監督機関が違法に処理されたデータの消去を命令できるという判断(ケースC-46/23)を下しました。これは、データ管理者が、自社のウェブサイト上の個人データ管理に対して、より能動的かつ厳格な責任を負うべきであることを示唆しています。このような最新の判例からも、GDPRがデータ保護を単なる事後的な対応ではなく、企業が常に合法性を確保すべき能動的な義務と捉えていることがうかがえます。

関連取扱分野:国際法務・海外事業

弁護士 河瀬 季

監修:弁護士 河瀬 季

モノリス法律事務所 代表弁護士。元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。

カテゴリー: IT・ベンチャーの企業法務

タグ:

シェアする:

関連記事

ブラジル連邦共和国の個人情報保護法(LGPD)の概要

ブラジル連邦共和国の個人情報保護法(LGPD)の概要

IT・ベンチャーの企業法務

EUのAI規制法と日本企業にとって必要な対応とは

EUのAI規制法と日本企業にとって必要な対応とは

IT・ベンチャーの企業法務

台湾の法律の全体像とその概要を弁護士が解説

台湾の法律の全体像とその概要を弁護士が解説

IT・ベンチャーの企業法務

日本企業が知っておくべき米国「スーパー301条」を制定背景から解説

日本企業が知っておくべき米国「スーパー301条」を制定背景から解.

IT・ベンチャーの企業法務

日本企業や経営者によるブラジル連邦共和国における会社設立の方法

日本企業や経営者によるブラジル連邦共和国における会社設立の方法

IT・ベンチャーの企業法務

ギリシャ共和国の法律の全体像とその概要を弁護士が解説

ギリシャ共和国の法律の全体像とその概要を弁護士が解説

IT・ベンチャーの企業法務

イタリア共和国の法律の全体像とその概要を弁護士が解説

イタリア共和国の法律の全体像とその概要を弁護士が解説

IT・ベンチャーの企業法務

ベルギー王国の法律の全体像とその概要を弁護士が解説

ベルギー王国の法律の全体像とその概要を弁護士が解説

IT・ベンチャーの企業法務

EUの「忘れられる権利」とGoogle Spain判決・GDPRの関係

EUの「忘れられる権利」とGoogle Spain判決・GDPR.

IT・ベンチャーの企業法務


タグ

AI関連 IT・ベンチャー IT・ベンチャー:契約書 IT技術 M&A Twitter YouTube YouTuber YouTuber:動画作成 ウェブサービス・アプリ関連 ゲーム関連 システム開発 ビジネスモデルの適法化 ブロックチェーン プライバシー プロジェクトマネジメント 仮想通貨 個人情報 個人情報保護法 労働問題(会社側・使用者側) 医事法関連 口コミ 名誉毀損 国際法務 契約書 投稿者の特定 損害賠償請求 景品表示法 暗号資産 暗号資産・ブロックチェーン:NFT 株式・増資 海外事業 知的財産権 肖像権 著作権 薬機法 記事削除 誹謗中傷 請負契約 資金決済法 風評被害対策 風評被害対策:サイト別 風評被害対策:企業 風評被害対策:内容別 風評被害対策:飲食業界

週間人気記事

TOPへ戻る