GDPRデータ主体アクセス要求(DSAR):対応方法を解説(2026年版)

データ主体アクセス要求(DSAR)とは、規則(EU)2016/679(GDPR)第15条に基づく正式な要求であり、個人が組織に対し、自らに関する個人データを保有しているかどうかを確認し、保有している場合はその写しを提供するよう求めるものである。GDPRの対象となる組織は、要求を受領してから暦月1か月以内に、無償で、簡潔かつ分かりやすい形式で対応しなければならない。
規則全体の背景についてはGDPRとは何かを参照されたい。消去権や異議申立権を含むデータ主体が有する権利の全体像については、GDPRデータ主体の権利を参照されたい。
DSARとは何か、誰が請求できるか
DSARとは、自然人が第15条に基づくアクセス権を行使する、あらゆる形式のコミュニケーションを指す。請求者は第15条を引用したり、組織が用意した書式に記入したりする必要はない。「私に関する情報を何を保有していますか」という問いも有効なDSARである。
この権利は自然人、すなわち個人データが処理されている生存中の個人にのみ帰属する。企業その他の法人はDSARを行うことができない。死亡した個人は原則としてGDPRの範囲外であるが、複数のEU加盟国では遺産管理人または近親者にアクセス権を認めている。
請求は、弁護士や16歳未満の子のために行動する親権者などの代理人を通じて行うこともできる。代理人を通じて請求が届いた場合、管理者はデータを開示する前に代理権限を確認すべきであるが、この確認手続によって1か月の時計が延長されることはない。
請求は口頭または書面、メール、郵送その他の方法で行うことができる。第12条(1)は明確かつ平易な言葉での回答を要求しており、前文59は管理者に対し、電子的手段を含め請求の提出を容易にすることを推奨している。オンラインポータルや専用メールアドレスはベストプラクティスであるが、法的に義務付けられているわけではない。
この権利は、以下で述べる適用除外の対象となる場合を除き、管理者がいかなる形式(電子または紙、構造化されたものまたは非構造化のもの、現行または保管中のもの)で保有するデータ主体に関するすべての個人データに適用される。
管轄の範囲
本記事は、EU GDPRおよびEDPBガイダンスに基づくアクセス権について解説する。これはEU/EEAに設立された組織、および商品・サービスをEU/EEAの個人に向けて提供する、またはその行動を監視する非EU組織に適用される(第3条(2))。英国GDPRは実質的に同一であり、相違点は本文中に随時記載する。カナダ、米国、その他の各国における類似制度は本記事の範囲外である。
組織はどのような情報を提供しなければならないか
第15条(1)および(3)は、処理が行われているか(またはデータを保有していないか)の確認、および個人データの写しと補足情報の提供という、2つの異なる事項を要求している。
個人データの写し
第15条(3)は「処理されている個人データの写し」を要求している。すなわち説明ではなく、実際のデータそのものである。管理者がメールのやり取り、アカウント記録、通話録音、防犯カメラの映像、または請求者の個人データを含むクレジット申込書を保有している場合、適用除外がない限り、請求者はその写しを受け取る権利がある。
アクセス権に関するEDPBガイドライン01/2022(バージョン2.1、2023年3月28日採択)は、「写し」とは要約やデータポータビリティのエクスポートではなく、忠実な複製を意味することを確認している。第15条の写しの権利と第20条のデータポータビリティの権利は別個のものである。ポータビリティは、法的根拠が同意または契約であり、処理が自動化されている場合にのみ適用される。
管理者が大量のデータを処理している場合、前文63は、情報が提供される前に、管理者が「データ主体に対し、請求が関係する情報または処理活動を特定するよう求めることができる」と定めている。これは実務上の管理手段であり、対応の条件として拒否や範囲の縮小を求める権利ではない。
第15条(1)が要求する補足情報
| 第15条(1)の規定 | 管理者が説明しなければならない内容 |
|---|---|
| (a) 処理の目的 | 組織がなぜそのデータを保有しているか、それぞれの具体的な目的ごとに |
| (b) 個人データのカテゴリー | 保有するデータの種類:連絡先、財務、健康、位置情報など |
| (c) 受領者または受領者のカテゴリー | データが開示された、または開示される予定のすべての第三者。第三国の受領者については、第46条の保護措置も特定しなければならない |
| (d) 想定される保有期間 | 具体的な期間、またはそれを決定するために用いられる基準 |
| (e) 訂正、消去、制限、異議申立の権利 | 第16条、第17条、第18条、第21条に基づくデータ主体の権利に関する情報 |
| (f) 苦情申立権 | 関連する国内データ保護当局の名称と連絡先 |
| (g) データの出所 | データがデータ主体本人から直接収集されたものでない場合、その入手元 |
| (h) 自動的な意思決定およびプロファイリング | 第22条が適用される場合、その論理、重要性、想定される結果に関する意味のある情報 |
項目(g)(第三者データの出所)は、執行事例において最も頻繁に指摘される不備の一つである。管理者がマーケティングリストを購入した、またはデータブローカーからデータを取得した場合、その出所を開示しなければならない。
第三国移転については、項目(c)は、標準契約条項、十分性認定、拘束的企業準則、その他第46条のメカニズムなど、具体的な保護措置の開示を要求している。
組織はどのくらいの期間内に回答しなければならないか
第12条(3)は、不当な遅滞なく、いかなる場合も要求受領から1か月以内の回答を要求している。「受領」とは、要求が組織に到達した日を意味し、従業員がそれを読んだ日ではない。
2か月の延長
第12条(3)は、要求が複雑である場合、または管理者が同時に多数の要求を受領した場合に、2か月の延長を認めている。複雑性とは、複数のシステムにまたがる相当な労力を要する要求や、困難な範囲・適用除外の問題を提起する要求を意味し、単に管理者が大量のデータを保有していることだけを意味しない。
延長通知は、当初の1か月の期間が満了する前にデータ主体に届かなければならない。2か月目に送付された通知は無効である。通知には具体的な理由を明示しなければならず、詳細を伴わない画一的な「複雑性」という通知は、EDPBガイドライン01/2022を満たさない。
| 状況 | 期限 |
|---|---|
| 標準的な要求 | 受領から1か月 |
| 複雑または多数の要求 | 延長通知が1か月目以内に送付されていることを条件に、受領から3か月 |
| 管理者が要求を拒否する場合 | 第12条(4)に基づき、理由と救済情報とともに1か月以内にデータ主体に通知しなければならない |
時計はいつ始まるか
時計は受領時に始まり、本人確認時ではない。管理者が追加情報なしにデータ主体を特定できない場合、特定に必要な最小限の情報を求めることができ、その期間中は事実上時計が一時停止する。管理者は、遅延戦術として、すべての請求者に政府発行の写真付き身分証明書を日常的に要求することはできない。
回答はどのように提供されなければならないか
第12条(3)は、書面または適切な場合は電子的手段を含むその他の手段による情報提供を要求している。第15条(3)はさらに、要求が電子的に行われた場合、データ主体が別段の要求をしない限り、回答は一般的に使用される電子形式によらなければならないと定めている。PDF、Word、Excel、または安全なポータルはいずれも要件を満たす。請求者が保有していそうにない専門ソフトウェアを必要とする独自形式は要件を満たさない。
回答は第12条(1)の基準、すなわち簡潔、透明、分かりやすく、明確かつ平易な言葉によるものでなければならない。各項目の意味の説明を伴わない生のデータベースフィールドのダンプは、必要なデータをすべて含んでいたとしても、EDPBガイダンスの下で分かりやすさの要件を満たさない可能性が高い。
データに第9条の特別カテゴリー(健康記録、人種的・民族的出自、生体データ)が含まれる場合、暗号化されていないメールやアクセス制御が不十分なポータルで送信することは、不十分なDSAR対応であると同時に個人データ侵害にも該当する。管理者は、第9条データを含む回答については暗号化された送信手段を使用すべきである。
本人確認:管理者が求めることができること、できないこと
前文64は、管理者はアクセスを要求するデータ主体の本人を確認するために「あらゆる合理的な措置」を用いるべきであると定めている。本人確認は認められているが、比例的でなければならず、管理者は必要以上の情報を要求することはできない。
管理者が既にデータ主体のメールアドレスを保有しており、要求がそのアドレスから届いた場合、政府発行の写真付き身分証明書を要求することは不釣り合いである。個人が郵送で初めて連絡し、顧客であると主張する場合、本人確認のためにアカウント詳細を求めることは合理的である。
管理者は以下を行うべきではない。
- 既存顧客の登録済みメールアドレスから要求が届いた場合に、認証済みパスポートまたは運転免許証の写しを日常的に要求すること。
- 誤った開示が深刻な損害を引き起こす場合を除き、対面での本人確認を要求すること。
- 本人確認を、1か月の期限を超えて回答を先延ばしにする口実として使用すること。
DSARの拒否または手数料の請求
「明らかに根拠がないまたは過剰」という基準
第12条(5)は、手数料を請求する、または対応を拒否する唯一の根拠であり、要求が「特にその反復的な性質のために、明らかに根拠がないまたは過剰」でなければならない。反復は指標であり、それだけで十分な条件ではない。最初の請求から6か月後に(新たな処理が発生した、または最初の回答が不十分であったために)2回目のDSARを提出した請求者は、第12条(5)における反復的な要求を行っているわけではない。
立証責任は管理者にある。第12条(5)は明示的に「管理者は、要求が明らかに根拠がないまたは過剰であることを立証する責任を負う」と定めている。監督機関は、漠然とした「過剰」という理由でDSARを拒否した組織に繰り返し制裁金を科してきた。
基準を満たす場合、管理者には2つの選択肢がある。事務コストを反映した合理的な手数料を請求するか、対応を拒否するかである。拒否する場合、第12条(4)の手続が適用される。すなわち、1か月以内にデータ主体に通知し、理由を説明し、監督機関への苦情申立権および司法救済を求める権利について通知しなければならない。
追加の写しに対する手数料
第15条(3)は別途、「データ主体が請求するさらなる写し」に対する手数料を認めているが、これは既に開示されたデータの追加の写しを意味し、新たに処理されたデータに関する新たなDSARを意味しない。この規定は狭く、適用される場面はまれである。
適用除外:個人データを開示しなくてもよい場合
第23条は、定められた状況においてEU加盟国がアクセス権を制限することを認めている。国内の実施規則は加盟国ごとに大きく異なる。
一般的な適用除外のカテゴリー:
刑事犯罪の防止、捜査、訴追。 ほとんどの加盟国は、開示が捜査を害する場合、法執行機関や規制機関がデータを開示しないことを認めている。
国家安全保障および諜報。 すべての加盟国の実施法において標準的に定められている。
法律専門家の秘匿特権。 依頼者と弁護士との間の通信、または訴訟に備えた準備作業は、加盟国法が適用除外を維持している場合、開示されないことがある。
機密の商業情報および営業秘密。 制限は、データ主体自身のものではなく、組織自身の情報を保護するために厳密に必要な範囲でのみ適用され得る。
雇用および交渉。 複数の加盟国は、雇用主の経営戦略や交渉戦略が開示される場合の非開示を認めている。
適用除外は、開示されるデータの範囲を制限するものであり、組織が対応しなければならないかどうかを制限するものではない。適用除外がデータの一部に適用される場合であっても、組織は期限内に回答し、データを保有していることを認め、適用除外の対象とならないすべてのものを開示し、一部のデータが保留された旨とその理由をデータ主体に伝えなければならない。
英国の適用除外
英国GDPRは、2018年データ保護法の附則2から4および第4部を通じて、開示が事業の運営を害する場合の経営予測・計画に関する適用除外を含む、より広範な適用除外の枠組みを組み込んでいる。
第三者データ:編集であって拒否ではない
請求者に関するデータに他の個人に関する個人データが含まれる場合(雇用紛争、消費者苦情、医療記録でよくあることである)、第15条およびEDPBガイドライン01/2022の下での正しいアプローチは、全面的な拒否ではなく、対象を絞った編集(マスキング)である。
管理者は、開示がそれらの当事者の権利を侵害する場合には第三者の個人データを編集しつつ、データ主体自身の個人データを提供しなければならない。考慮すべき要素:
- 第三者が開示に同意しているかどうか。
- 請求者が既に第三者の身元を知っているかどうか(第三者が請求者の直属の上司であり、業績評価に名前が記載されている場合、その名前はその文書における開示から保護されない)。
- 第三者の同意なしに情報を提供することが、すべての状況において合理的かどうか。
- 第三者の情報が請求者のデータと密接に絡み合っており、効果的な編集が不可能であるかどうか。
監督機関は、対象を絞った編集が可能な場合に、文書全体を保留するための包括的な正当化として第三者のデータ保護を用いることを一貫して否定してきた。
DSAR対応におけるよくある誤り
有効な延長なしに期限を逃すこと。 1か月を法的要件ではなく目標として扱う管理者は、制裁金や執行通知に直面する。
不完全な回答をすること。 アーカイブやバックアップシステム、オフラインファイル、処理者が保有するデータを無視することは、繰り返し見られる不備である。回答は、管理者が保有するあらゆる形式のすべての個人データを対象としなければならない。
過剰な本人確認を求めること。 既知のチャネルを通じた既存顧客に政府発行の写真付き身分証明書を要求することは回答を遅らせ、それ自体がGDPR違反となり得る。
第三者データの出所を特定しないこと。 第15条(1)(g)は体系的に省略されている。データがブローカー、紹介パートナー、または公開の情報源から得られたものである場合、それを開示しなければならない。
請求者自身のデータを編集すること。 管理者は、第三者データと並んで現れることを理由に、DSAR回答から請求者自身の個人データを編集することはできない。
証拠なしに「明らかに根拠がない」という理由で拒否すること。 要求が不都合である、訴訟に関わる、あるいは相当な作業を要するという理由での拒否は、第12条(5)の基準を満たさない。
暗号化されていない特別カテゴリーデータを送信すること。 第9条データを暗号化されていないメールで送信することは、DSAR違反と個人データ侵害を同時に引き起こす。
口頭の要求を無視すること。 第12条(1)は口頭の要求を認めている。書面またはオンラインフォームによるDSARのみを受け付ける管理者は、正当な要求を見逃すリスクがある。現場職員は、それらを認識してエスカレーションする訓練を受ける必要がある。
ステップバイステップのDSAR対応ワークフロー
ステップ1:要求を認識する。 顧客、従業員、または一般の人々と接するすべての職員に、使用される言葉にかかわらずDSARを認識するよう訓練する。受領日を直ちに記録する。
ステップ2:データ主体を特定する。 提供された情報から本人を特定できるかを確認する。できない場合、必要最小限の追加情報を求める。それが必要な理由を文書化する。
ステップ3:時計を開始する。 受領日を記録する。1か月の絶対的な期限の前に準備時間を確保するため、社内では28日の期限を設定する。
ステップ4:すべてのシステムを検索する。 すべてのデータベース、メールアーカイブ、紙の記録、および貴社に代わって処理者が保有する記録を検索する。検索は網羅的でなければならない。
ステップ5:適用除外および第三者データを評価する。 特定されたデータを、適用可能な第23条の国内適用除外に照らして確認する。第三者の個人データも含む記録については、対象を絞った編集が可能かどうかを判断する。
ステップ6:延長を検討する。 要求が真に複雑である場合、または同時に多数の要求を受領した場合、延長の決定を文書化し、1か月の期限前に延長通知を送付する。
ステップ7:回答を準備する。 データの写しに加え、第15条(1)(a)から(h)のすべての補足情報を編纂する。要求が電子的に行われた場合は、一般的に使用される電子形式を使用する。
ステップ8:安全に送付する。 第9条データについては暗号化された送信手段を使用する。送付内容、日時、形式を記録する。
ステップ9:プロセスを文書化する。 第5条(2)のアカウンタビリティ原則に基づき、DSARログを維持する。受領日、本人確認の手順、検索方法、開示したデータ、適用した適用除外、延長通知(あれば)、回答発行日を記録する。
ステップ10:フォローアップ要求に対応する。 完全性に関する追加の問い合わせ、または新たに生成されたデータに関する要求は、それぞれ独立したものとして扱う。
英国における同等制度:英国GDPRに基づくアクセス要求
ブレグジット後、英国はGDPRを「英国GDPR」として2018年欧州連合(離脱)法により国内法に取り込み、2018年データ保護法によって補完している。1か月の期限、提供すべき情報の範囲、手数料に関する規則、拒否の根拠は、いずれも英国法においても維持されている。
主な相違点:
- 執行はEUの監督機関ではなくICOが担う。ブレグジット後のEUから英国への移転には、十分性認定(2021年6月28日に欧州委員会が採択)または適切な保護措置が必要となる。
- 2018年データ保護法の附則2から4には、経営予測、交渉、拡大された法執行の適用除外など、英国固有の追加的な適用除外が含まれる。
- EUと英国の両方で事業を行う組織は、並行する義務に直面することがある。EU居住者からのDSARはEU GDPRに、英国居住者からのDSARは英国GDPRに関わる。
ICOの詳細なガイダンスについては、ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/ を参照されたい。
雇用の文脈におけるDSAR
雇用関係は、他のほぼいかなる関係よりも多くのDSARを生じさせる。特に雇用が終了する時期、または終了した直後にその傾向が強い。
訴訟は適用除外を生じさせない。 労働審判が予告されている、または係属していることは、DSARを明らかに根拠がない、または過剰なものにしない。監督機関およびICOはこれを一貫して確認している。訴訟が予想されるという理由で雇用関連のDSARを拒否することは、ほぼ確実に追加の執行申立てを引き起こす。
業務上の機密性は狭く解釈される。 業績管理文書、懲戒処分の記録、会議記録には従業員自身の個人データが含まれており、開示しなければならない。管理者は他の従業員に関する意見を編集することはできるが、請求者自身のデータを編集することはできない。
法律専門家の秘匿特権は特定の文書にのみ適用される。 雇用弁護士が訴訟を見越して組織に助言した場合、それらの特権のある通信は保留されることがある。対象となるのはそれらの特定の文書のみであり、人事ファイルのカテゴリー全体ではない。
推薦状や面接記録も個人データである。 従業員に関する推薦状や面接評価シートは従業員本人の個人データであり、他の個人の情報に対する対象を絞った編集のみを条件として、原則として開示しなければならない。
DSARと自動的な意思決定
管理者が、法的効果または同様に重大な影響を生じさせる自動的な意思決定またはプロファイリングを使用している場合、第15条(1)(h)は、DSAR回答に「関与するロジックについての意味のある情報、ならびにデータ主体に対するそのような処理の重要性および想定される結果」を含めることを要求している。
自動的な意思決定に関するEDPBガイドライン06/2022は、「ロジックについての意味のある情報」がアルゴリズム全体やソースコードである必要はないが、漠然とした説明を超えるものでなければならないことを明確にしている。データ主体は、どのような入力が使用されたか、アルゴリズムがそれらを用いて何を行うか、その特定のケースでの出力は何であったか、その出力がどのような結果をもたらすかを理解する権利がある。
これは信用スコアリング、保険引受、採用選考、コンテンツモデレーションに適用される。意味のある説明を欠く自動評価によって引き起こされた与信拒否は、第15条(1)(h)と第22条(3)の人間による再審査を受ける権利の両方に違反する。
DSARの執行:規制当局が行ってきたこと
EDPB加盟の監督機関全体に共通する執行のテーマ:
金融サービス。 銀行や保険会社は、特にレガシーシステムや処理者が保有するデータの開示を怠ったことにより、不完全な回答について制裁金を科されてきた。
医療分野。 病院や健康保険会社は、期限を逃したこと、および編集可能であった第三者の臨床データを理由に記録の開示を拒否したことについて処分を受けてきた。
テクノロジー企業。 大手プラットフォームは、データ主体が自らのデータを理解することを妨げる、機械可読でない独自形式での回答について精査を受けてきた。
雇用主。 証拠なしに「訴訟」や「過剰」を理由にDSARを拒否する雇用主は、一貫して不利な認定を受けている。
EDPBは、edpb.europa.eu/about-edpb/who-we-are/members_en 、および各国のDPAのウェブサイトを通じて、執行措置の中央登録簿を公開している。
アクセス権と他のGDPR上の権利との関係
アクセス権は、通常、他の権利の行使に先立つ。どのようなデータが保有されているかをまだ知らないデータ主体は、まずDSARを提出し、開示された情報を用いて、第16条に基づく訂正、第17条に基づく消去(GDPR忘れられる権利を参照)、第18条に基づく制限、または第21条に基づく異議申立を請求するかどうかを判断することが多い。
アクセス権は、第20条のデータポータビリティ権とは異なる。ポータビリティは、法的根拠が同意または契約であり、処理が自動化されている場合にのみ適用され、構造化された機械可読な形式でのデータを要求する。第15条の写しの権利は、法的根拠にかかわらず適用されるが、形式要件はより緩やかである。
DSARは情報公開請求とも異なる。FOIAおよびそれに相当する法律は、公的機関がその公的機能について保有する情報へのアクセス権を与える。DSARは、請求を行う特定の個人に関する個人データへのアクセス権を与える。データ主体が公的機関に連絡する場合、両方の権利が同時に生じることがあり、多くの公共部門の組織はこれらを並行して処理している。
免責事項: 本記事は、GDPRのアクセス権(第15条)およびデータ主体アクセス要求に関する一般的な法律情報を提供するものである。これは法的助言を構成するものではなく、貴管轄区域で有資格の弁護士による助言の代替とはならない。GDPR法およびその監督機関・裁判所による解釈は継続的に発展しており、本記事の情報は2026年6月時点で確認されたものである。組織においてDSARコンプライアンスを担当している場合、またはデータ主体としての権利行使を検討している場合は、関連するEU加盟国または英国の管轄区域で有資格のデータ保護専門家または弁護士に相談されたい。
Frequently Asked Questions
DSARへの対応にはどのくらいの期間がありますか?
第12条(3)は、不当な遅滞なく、いかなる場合も要求受領から1か月以内の回答を要求している。要求が複雑である場合、または同時に多数の要求を受領した場合には、当初の1か月の期限が満了する前に管理者がデータ主体に通知することを条件に、さらに2か月までの延長が認められる。有効な延長なしに1か月の期限を逃すことはGDPR違反となる。
アクセス要求に対して料金を請求できますか?
原則としてできない。第12条(5)の下での唯一の例外は、要求が明らかに根拠がないまたは過剰である場合であり、その場合、管理者は事務コストに基づく合理的な手数料を請求するか、要求を拒否することができる。要求がその基準を満たすことの立証責任は管理者にある。第15条(3)は別途、既に開示されたデータの追加の写しに対する手数料を認めているが、新たなDSAR請求には適用されない。
DSARを拒否できますか?
限られた状況において可能である。第12条(5)は、要求が明らかに根拠がないまたは過剰である場合に限り拒否を認めており、立証責任は管理者にある。第23条は、国家安全保障、刑事捜査、または専門家特権のためにEU加盟国がアクセス権を制限することを認めている。拒否する場合、管理者は1か月以内にデータ主体に通知し、理由を示し、監督機関への苦情申立方法および司法救済を求める方法を説明しなければならない。
DSARと忘れられる権利の違いは何ですか?
第15条に基づくDSARは、個人データの写しを取得し、それがどのように処理されているかを理解するための請求である。第17条に基づく忘れられる権利(消去権)は、6つの定められた状況のいずれかにおける削除の請求である。これらは根拠と手続を異にする別個の権利である。実務上、多くの個人は、消去を請求するかどうかを決める前に何が存在するかを理解するためにDSARを提出する。詳細は[GDPR忘れられる権利](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/gdpr-right-to-be-forgotten/)を参照されたい。
DSARは書面で行う必要がありますか?
いいえ。第12条(1)は、データ主体の要求に応じて口頭で情報を提供できると定めており、口頭による要求も有効である。正式な書面フォームまたはオンラインポータルを通じてのみDSARを受け付ける管理者は、電話や対面で提出される口頭のDSARを見逃すリスクがある。現場職員は、口頭のDSARを認識してエスカレーションする訓練を受けるべきである。
組織がDSARに応答しない場合どうなりますか?
適用される期限内に応答しないことは第12条(3)の違反となる。データ主体は、自国のEU加盟国の管轄監督機関に苦情を申し立てることができる。監督機関は第83条に基づき制裁金を科すことができ、第12条または第15条違反に対するGDPRの制裁金は最大2,000万ユーロまたは全世界年間総売上高の4%のいずれか高い方に達し得る。
DSARは組織のデータ処理者が保有するデータもカバーしますか?
はい。管理者は、クラウドプロバイダー、給与計算サービス、マーケティングプラットフォームなど、第三者処理者が代わりに処理するデータを含め、自らが処理するすべての個人データについて責任を負う。管理者は、第28条が要求するデータ処理契約に基づき、処理者にDSAR検索への協力を指示しなければならない。データ主体はDSARを管理者に提出し、管理者は処理者からデータを取得し、それを回答に含める責任を負う。
雇用主は継続中の訴訟を理由に雇用関連のDSARを拒否できますか?
できない。労働審判手続への関与は、第12条(5)の下でDSARを明らかに根拠がない、または過剰なものにはしない。監督機関およびICOはこれを一貫して確認している。法律専門家の秘匿特権は特定の特権のある通信には適用され得るが、それはDSAR全体の拒否または遅延を正当化するものではない。
DSAR回答はどのような形式でなければなりませんか?
第15条(3)は、要求が電子的に行われた場合、データ主体が別段の要求をしない限り、回答は一般的に使用される電子形式によらなければならないと定めている。PDF、Word、Excel、および安全なポータルへのアクセスはいずれも許容される。回答はまた、第12条(1)、すなわち簡潔、透明、分かりやすく、明確かつ平易な言葉によるものであることも満たさなければならない。
EU域外の組織にもGDPRのDSAR義務がありますか?
第3条(2)の対象となる組織については、ある。GDPRは、EU/EEAの個人に商品またはサービスを提供する、またはその行動を監視する非EU組織に適用され、制裁金も同様に適用される。EU顧客に販売する米国企業や、そのアプリがEUユーザーの位置情報を追跡するグローバル企業は、そうした個人からのDSARに対応しなければならない。適用除外がない限り、そうした組織は第27条に基づくEU代理人も指定しなければならない。
Sources and References
- 欧州議会および理事会規則(EU)2016/679(一般データ保護規則)、第15条(データ主体によるアクセス権)(eur-lex.europa.eu).gov
- 規則(EU)2016/679、第12条(データ主体の権利行使のための透明な情報、コミュニケーションおよび手続)(eur-lex.europa.eu).gov
- 規則(EU)2016/679、前文63(個人データへのアクセス権)(eur-lex.europa.eu).gov
- 規則(EU)2016/679、前文64(データ主体アクセス要求における本人確認)(eur-lex.europa.eu).gov
- 欧州データ保護会議、データ主体の権利に関するガイドライン01/2022 - アクセス権、バージョン2.1、2023年3月28日採択(edpb.europa.eu).gov
- 欧州データ保護会議、GDPR第65条(1)(a)の適用に関するガイドライン06/2022(自動的な個人の意思決定およびプロファイリング)(edpb.europa.eu).gov
- 英国情報コミッショナー事務局、英国GDPRに基づくアクセス権ガイダンス(ico.org.uk).gov
- アイルランドデータ保護委員会、GDPR第15条に基づく情報アクセス権(dataprotection.ie).gov
- 欧州委員会、英国に対する十分性認定、2021年6月28日(ec.europa.eu).gov
- 2018年欧州連合(離脱)法(英国)および2018年データ保護法、附則2(アクセス権の適用除外)(legislation.gov.uk).gov