GDPRデータ主体の権利を解説:8つの権利のすべて(2026年版)

規則(EU)2016/679第III章に基づき、GDPRは欧州連合内の個人に対して8つの執行可能な権利を付与している。すなわち、通知を受ける権利、アクセス権、訂正権、消去権、処理の制限を求める権利、データポータビリティの権利、異議申立権、および自動的な意思決定に関連する権利である(第13条から第22条)。組織はいかなる請求にも暦月1か月以内に対応しなければならない。
GDPRは、欧州連合内のすべての個人に対し、自らの個人データに関する執行可能な権利を与えている。これらの権利は、規則(EU)2016/679第III章(第12条から第22条)に定められている。これらは、組織が最初にデータを収集する瞬間(通知を受ける権利)から、アクセス、訂正、削除、移動、その利用への異議申立に至るまで、データのライフサイクル全体をカバーしている。
これらの権利を理解することは、双方向に重要である。個人は、何を要求できるか、どのように要求すればよいかを知る必要がある。組織は、何を義務付けられているか、どの期限内に、どこに適用除外があるかを知る必要がある。
本記事では、8つの権利すべてを詳細に説明し、データ主体アクセス要求(DSAR)が実務上どのように機能するかを扱い、解釈を形作ってきた主要なCJEU判決に触れ、EDPBの協調執行報告書やデジタル・オムニバス提案を含む最近の重要な動向を取り上げる。
より広範な規制の枠組みについてはGDPRとは何かを、コンプライアンス実施のステップについてはGDPRコンプライアンスチェックリストを、同意規則の詳細についてはGDPR同意要件を参照されたい。
適用管轄区域の範囲: 本記事は、EU規則(EU)2016/679(GDPR)に基づくデータ主体の権利について解説する。本記事は、英国GDPR(ブレグジット後にEU GDPRから分岐した)、または特定の分野に適用され得る加盟国固有の適用除外は扱っていない。英国固有の権利についてはICOに相談されたい。
本記事は一般的な法律情報のみを提供するものであり、法的助言ではない。貴自身の状況に特化した助言については、有資格のデータ保護弁護士またはプライバシー専門家に相談されたい。
一目でわかるGDPRの8つのデータ主体の権利
GDPR第III章は8つの異なる権利を定めている。第12条は全体的な手続の枠組みを規定している。回答は(第一義的には)無償で、簡潔、透明、分かりやすく、容易にアクセス可能な形式で、明確かつ平易な言葉により提供されなければならない。1か月というデフォルトの回答期限は、すべての権利にわたって適用される。
| 権利 | 主たる根拠条文 | 中心的な内容 |
|---|---|---|
| 通知を受ける権利 | 第13条および第14条 | データ収集時点でのプライバシー情報の受領 |
| アクセス権 | 第15条 | 保有される個人データの確認および写しの取得 |
| 訂正権 | 第16条 | 不正確または不完全なデータの訂正 |
| 消去権 | 第17条 | 個人データの削除請求 |
| 処理制限権 | 第18条 | データを削除せずにその利用を制限すること |
| データポータビリティ権 | 第20条 | 構造化された機械可読な形式でのデータの受領 |
| 異議申立権 | 第21条 | 正当な利益またはダイレクトマーケティングに基づく処理への異議申立 |
| 自動的な意思決定に関連する権利 | 第22条 | もっぱら自動化されたシステムによる決定への異議申立 |

通知を受ける権利(第13条・第14条)
通知を受ける権利は、他のすべてのGDPR上の権利が依拠する基礎である。これは、組織に対し、収集の前または収集時点で、どのような個人データが収集され、どのように利用されるかについて、個人に明確な情報を提供することを義務付ける。透明性がなければ、個人は他の7つの権利のいずれも意味のある形で行使することができない。
第13条は、組織がウェブフォーム、アプリ登録、書面による申込みなどを通じて個人から直接個人データを収集する状況を規律する。第14条は、個人データが個人本人からではなく第三者から取得される状況を規律する。
組織が開示しなければならない事項
第13条および第14条の両方に基づき、組織は最低限、以下を提供しなければならない。
- データ管理者の身元および連絡先、ならびに指定されている場合はデータ保護責任者の連絡先
- 処理の目的、および各目的の法的根拠
- 処理が正当な利益に基づく場合、追求される具体的な利益
- 受領者または受領者のカテゴリー
- 第三国への移転の詳細および適用される保護措置
- 保有期間、またはそれを決定するために用いられる基準
- 適用されるすべてのデータ主体の権利の存在およびその行使方法
- 同意が法的根拠である場合、同意を撤回する権利
- 監督機関に苦情を申し立てる権利
- 第14条のみ:個人データの出所
時期に関する要件
第13条に基づく直接収集の場合、プライバシー情報はデータが取得された時点で提供されなければならない。第14条に基づく間接収集の場合、期限はデータ取得から1か月以内、それより早ければ個人との最初の接触時、さらに早ければ別の受領者への開示時点である。
CEF 2026の執行焦点
EDPBは、2026年に開始された協調執行枠組み(CEF)アクションの主題として、第12条、第13条、第14条を選定した。EU全域の25のデータ保護当局が参加している。EDPBは通知を受ける権利を「個人がデータに対するより多くの統制を持つことを保証する透明性の核心的要素」と説明した。執行結果は、実務上プライバシー通知がGDPR基準を満たしているかどうかについての知見をもたらすことが期待されている。
アクセス権(第15条)
アクセス権は、最も頻繁に行使され、最も訴訟が多いGDPR上の権利である。第15条は、個人が、組織が自らの個人データを処理しているかどうかの確認を受け、処理している場合はそのデータの写しと所定の補足情報を受け取ることを認めている。
この権利がカバーする範囲
第15条(1)に基づき、データ主体は以下の権利を有する。
- 処理が行われていることの確認
- 個人データそのものの写し
- 処理の目的
- 関係する個人データのカテゴリー
- 受領者または受領者のカテゴリー(第三国のものを含む)
- 計画されている保有期間、またはそれを決定する基準
- 訂正、消去、制限、異議申立の権利の存在
- 監督機関に苦情を申し立てる権利
- データが個人から収集されたものでない場合、その出所に関する情報
- プロファイリングを含む自動的な意思決定が用いられているかどうか、および関与するロジックについての意味のある情報
第15条に関するCJEU判例法
CJEUは、アクセス要求への対応において管理者が従来行使していた裁量を大幅に狭めてきた。
事件C-154/21、RW対Österreichische Post AG(2023年1月12日判決)において、裁判所は、第15条(1)(c)は、個人データが開示された、または開示される予定の受領者の具体的な身元を管理者が開示することを要求していると判示した。特定の受領者を識別することが真に不可能な場合に限り、管理者は受領者のカテゴリーの開示に頼ることができる。この判決は、漠然とした一般的なカテゴリー説明を提供するという一般的な慣行に終止符を打った。
事件C-487/21、F.F.対Österreichische Datenschutzbehörde and CRIF GmbH(2023年5月4日判決)において、裁判所は、第15条(3)の下で「写し」を取得する権利とは、データ主体が保有されているすべての個人データの忠実かつ分かりやすい複製を受け取ることを意味すると判示した。この権利は、個人がそのデータに理解可能な形でアクセスできるようにするために必要な場合、文書の抜粋、文書全体、またはデータベースの抽出物の写しにまで及び得る。管理者は、選別または要約された選択肢を提供することはできない。
EDPBガイドライン01/2022(アクセス権に関する)(バージョン2.0、2023年4月)はさらに、管理者が回答を自らが「関連性がある」または「重要である」と判断したデータに限定することはできないことを確認している。アクセスは、保有されているすべての個人データをカバーしなければならない。
アクセス権に関するCEF 2024の調査結果
EDPBは、31のDPAが参加した協調アクションを経て、2025年1月にアクセス権に関するCEF 2024報告書を公表した。繰り返し見られた課題には、要求処理のための内部手続の欠如、不完全な回答、および正当な請求者を萎縮させる過度に負担の大きい本人確認要件が含まれた。

訂正権(第16条)
第16条は、個人に対し、不正確な個人データを不当な遅滞なく訂正させる権利を与えている。個人はまた、補足的な陳述の提供を含め、不完全なデータを完全なものにするよう請求することもできる。
範囲と実務上の例
この権利は、組織が保有する事実的な個人データが誤っている、または不完全である場合に常に適用される。よくある例としては、氏名の誤記、誤った住所、古い電話番号、誤った日付を含む雇用記録が挙げられる。この権利は評価や意見には適用されない(業績評価の評点は意見であり、事実の不正確さではない)が、個人は争いのある主観的評価に補足陳述を添付するよう請求することができる。
第三者への通知義務
管理者がデータを訂正する場合、GDPR第19条は、それが不可能であるか、不釣り合いな労力を要する場合を除き、以前にデータが開示されたすべての受領者への通知を義務付けている。管理者はまた、求められればそれらの受領者について個人に情報を提供しなければならない。
消去権/忘れられる権利(第17条)
第17条は、個人が自らの個人データの削除を請求することを認めている。消去権、別名「忘れられる権利」は、GDPRで最も注目される規定の一つである。これは絶対的なものではなく、第17条(3)はこの権利が適用されない状況を定めている。
消去の根拠
消去は、第17条(1)に基づき以下の場合に必要とされる。
- データが収集または処理された目的にとってもはや必要でない場合
- 個人が同意を撤回し、他の法的根拠が適用されない場合
- 個人が第21条に基づき異議を申し立て、管理者に優先する正当な根拠がない場合
- データが違法に処理された場合
- 消去がEUまたは加盟国の法的義務を遵守するために要求される場合
- データが情報社会サービスに関連して子どもから収集された場合(第8条)
消去を拒否する根拠
第17条(3)に基づき、管理者は以下のために処理が必要な場合、消去を拒否することができる。
- 表現および情報の自由の権利の行使
- 法的義務の遵守(例えば法定の税務記録の保存)
- 公共の利益における公衆衛生目的(第9条(2)(h)および(i))
- 消去が目的を著しく損なう場合の、公共の利益のためのアーカイブ、科学研究、または統計目的
- 法的請求権の確立、行使、または防御
注意: 法的請求権の適用除外は頻繁に誤用される。組織は、消去義務を回避するためにこれを予防的に援用することがある。この適用除外が要求するのは、訴訟手続が実際に係属している、脅されている、または合理的に予想されることであり、管理者が理論上将来請求に直面する可能性があるということではない。
検索エンジンにおける消去
消去権は検索エンジンにとって特に重要な意味を持つ。グーグル・スペイン判決(事件C-131/12、2014年)を受けて、個人は検索エンジンに対し、自己に関する検索結果の削除を請求することができる。EDPBガイドライン5/2019は、DPAが削除請求を評価する際に適用する基準を定めている。
CEF 2025:消去権実施における課題
EDPBは2026年2月に消去権に関するCEF 2025報告書を公表した。2025年を通じて32のDPAが参加し、9件が正式な調査を開始し、23件が事実調査を実施した。7つの繰り返し生じる実施上の課題が特定された。
- 削除の代替として非効率な匿名化技術に依拠する組織
- バックアップシステムにおける消去の一貫性のない実務
- 保有期間の決定とその実行の困難さ
- 第17条(3)の比較衡量テストの適用に苦労する管理者
- 2024年のアクセス権に関する調査結果と共通する内部手続の欠如
- 消去請求の結果について個人への情報提供が不十分であること
- 消去後の第三者受領者への通知が不十分であること
処理制限権(第18条)
第18条は、個人が組織に対し、データを保持しつつもその積極的な利用を停止するよう求めることを認めている。制限が課された場合、管理者はデータを保管できるが、個人が同意する場合、または法的請求権、他者の権利の保護、もしくは重要な公共の利益のために処理が必要な場合を除き、それを処理することはできない。
制限が適用される場合
個人は、以下の4つの状況において制限を請求できる。
- データの正確性を争い、管理者が正確性を検証している間、制限が適用される場合
- 処理が違法であるが、個人が消去よりも制限を望む場合
- 管理者がもはやデータを必要としないが、個人が法的請求権の確立、行使、または防御のためにそれを必要とする場合
- 個人が第21条に基づき異議を申し立て、比較衡量の結果が未確定である場合
実務上の効果
制限は事実上、積極的な処理の「一時停止」である。管理者は、制限を解除する前に個人に通知しなければならない。この権利は、完全な消去と無制限の処理との中間に位置し、事実関係に争いがある場合や訴訟中に特に有用である。
データポータビリティ権(第20条)
第20条は、個人が管理者に提供した個人データを、構造化され、一般的に使用され、機械可読な形式で受け取り、技術的に可能な場合はそのデータを別の管理者に直接送信させる権利を与えている。この権利は、ベンダーロックインを減らし、競合サービス間の乗り換えを支援するために設計されている。
ポータビリティの条件
データポータビリティ権は、以下の2つの条件がいずれも満たされる場合にのみ適用される。
- 処理が同意(第6条(1)(a)または第9条(2)(a))または個人との契約(第6条(1)(b))に基づいている場合
- 処理が自動化された手段によって行われている場合
正当な利益、法的義務、または公共の利益に基づいて処理されるデータには、ポータビリティ権は及ばない。
対象となるデータ
ポータビリティは、個人が管理者に「提供した」データをカバーする。これには、能動的に提出されたデータ(フォームへの入力、アップロードされた文書、プロフィール情報)と、サービスの利用を通じて生成されたデータ(取引履歴、利用ログ、アプリ利用による位置情報)が含まれる。リスクスコア、顧客セグメント、アルゴリズムによるプロファイリング出力などの推論または派生データは、管理者によって生成されるものであり、個人が提供したものではないため、含まれない。
形式要件
データは構造化され、一般的に使用され、機械可読な形式で提供されなければならない。CSV、JSON、XMLは広く受け入れられている形式である。技術的に可能であり、個人からの要求がある場合、管理者はデータを指定された別の管理者に直接送信しなければならない。
異議申立権(第21条)
第21条は、個人に対し、著しく異なる法的効果を伴う2つの異なる場面において処理に異議を申し立てることを認めている。
正当な利益または公共の利益による処理への異議申立
処理が正当な利益(第6条(1)(f))または公共の利益(第6条(1)(e))に基づく場合、個人は「自らの特定の状況に関連する根拠」に基づき異議を申し立てることができる。管理者は、個人の利益、権利および自由に優先する説得力のある正当な根拠を証明できない限り、または処理が法的請求権のために必要でない限り、処理を停止しなければならない。
一般的な自らの利益が重いという主張ではなく、個人が述べる特定の状況に即した真の比較衡量を行う責任は管理者にある。
ダイレクトマーケティングへの異議申立という絶対的な権利
ダイレクトマーケティングのための処理への異議申立権は無条件である。第21条(2)および(3)は、個人がダイレクトマーケティングのための処理に異議を申し立てた場合、管理者は、その目的およびそれに関連するプロファイリングについて、直ちに処理を停止しなければならないと定めている。比較衡量テストは適用されず、いかなる正当な根拠もこれに優先することはできない。
研究のための処理への異議申立
個人はまた、公共の利益のための業務に処理が必要である場合を除き、自らの特定の状況に関連する根拠に基づき、科学的、歴史的、または統計的な研究目的のための処理に異議を申し立てることができる。

自動的な意思決定およびプロファイリングに関連する権利(第22条)
第22条は、個人が、法的効果または同様に重大な影響を自らに及ぼす、プロファイリングを含む、もっぱら自動処理に基づく決定に服さない権利を有すると定めている。
中核的な保護
第22条が適用されるためには、以下の3つの条件がすべて存在しなければならない。
- 決定がもっぱら自動処理に基づいている(意味のある人間の関与がない)
- 処理にプロファイリング(個人を評価、予測、または分類するための個人的側面の分析)が含まれる
- 決定が法的効果(与信、ビザ、または雇用の拒否)または同様に重大な影響(保険の拒否、サービスからの排除、深刻な財務的または社会的影響)を生じさせる
認められる例外
第22条(2)は、以下の3つの状況において、法的効果または同様に重大な影響を伴うもっぱら自動化された決定を認めている。
- 決定が個人との契約の締結または履行のために必要である場合
- 適切な保護措置を伴うEUまたは加盟国法によって認められている場合
- 個人の明示的な同意に基づいている場合
義務的な保護措置
例外が適用される場合、管理者は個人の権利を保護するための適切な措置を実施しなければならない。最低限、個人は以下の権利を有さなければならない。
- 決定について人間の関与を得る権利
- 決定の前後に自らの見解を表明する権利
- 決定に異議を申し立てる権利
管理者はまた、自動化されたシステムに関与するロジック、および個人にとっての決定の重要性および想定される結果についての意味のある情報を提供しなければならない。
EU AI法との相互作用
EU AI法(規則(EU)2024/1689、2024年8月発効、中核規定は2026年8月から適用)は、高リスクAIシステムについて重複する義務を導入している。附属書IIIに列挙される高リスクAIシステム(信用スコアリング、雇用決定、必須サービスへのアクセス、移民関連を対象とする)は、GDPR第22条の義務に加えて、AI法の下での透明性、人間による監督、正確性の要件を満たさなければならない。両制度が適用される場合、両方の義務セットが満たされなければならない。EDPBおよびEU AIオフィスは、2026年を通じてAI法の規定が本格的に適用されるにつれて、第22条とAI法の相互作用について協調したガイダンスを提供することが期待されている。
データ主体アクセス要求(DSAR)は実務上どのように機能するか
第12条は、あらゆるデータ主体の権利要求への対応を規律する手続の枠組みを提供している。
請求の方法
個人は、特定の法的用語を使用したり、GDPRの条文を引用したりする必要はない。個人が求めるものを特定する明確なコミュニケーションであれば十分である。請求は、メール、ウェブフォーム、書簡、電話、または管理者が運用しているその他のあらゆるチャネルを通じて行うことができる。
1か月の期限
管理者は、請求を受領した翌日から暦月1か月以内に対応しなければならない。EDPBは、これが暦月を意味することを確認している(3月5日に受領した請求には4月5日までに対応しなければならない)。最終日が管理者の管轄区域における週末または祝日に当たる場合、期限は次の営業日まで延長される。
延長
複雑な請求について、または同一の個人が多数の請求を同時に提出した場合、期限はさらに2か月(合計3か月)延長され得る。延長を利用するには、管理者は最初の暦月以内に個人に通知し、延長の理由を説明しなければならない。最初の1か月以内に延長通知を送付しなかった場合、管理者は延長に依拠することができない。
手数料
いかなる権利要求への最初の回答も無償で提供されなければならない。合理的な事務手数料は、明らかに根拠がないまたは過剰な請求、特に反復的な請求についてのみ請求できる。請求がこの基準を満たすことを立証する責任は管理者にある。基準は高く、過去に同じ請求を行っていない個人による通常の請求は過剰とはみなされない。
本人確認
管理者は請求者の本人確認のために情報を求めることができるが、それは真に疑義がある場合に限られる。確認措置は比例的でなければならない。管理者は、抑止力として不釣り合いな確認のハードルを課すことはできない。オンラインアカウントについては、既存のアカウント認証情報を通じたユーザー認証を求めることで一般的に十分である。パスポートの写しや政府発行の身分証明書を要求することは、問題となるデータが特に機微である場合、または状況が特にそれを正当化する場合を除き、通常は不釣り合いである。
請求を拒否できる場合
管理者は、明らかに根拠がないまたは過剰な請求への対応を拒否することができる。請求が拒否される場合、管理者は個人に以下を通知しなければならない。
- 拒否の理由
- 監督機関に苦情を申し立てる権利
- 司法救済を求める権利
管理者は請求を無視することはできない。拒否であっても1か月の期限内に伝達されなければならない。
苦情の申立て
すべてのEU加盟国には、個人が無償で苦情を申し立てることができる国内データ保護当局がある。EDPBは、連絡先詳細を含むすべての国内監督機関の完全なリストを維持している。主要な当局には、CNIL(フランス)、BfDI(ドイツ)、DPC(アイルランド、EUに拠点を置く多くの米国本社のテック企業を監督する)、APD/GBA(ベルギー)が含まれる。
データ主体の権利に対する適用除外と制限
データ主体の権利は無制限ではない。前文73およびGDPRの複数の条文は、以下を保護するために必要な場合、加盟国が立法によって権利を制限することを認めている。
- 国家安全保障、公共の安全、および国防
- 刑事犯罪の防止、捜査、訴追
- 公衆衛生、社会保護、課税を含む、EUまたは加盟国のその他の重要な公共の利益の目的
- 司法の独立の保護
- 民事上の請求権の執行
- 他の個人の権利および自由
複数のEU加盟国で事業を行う組織は、各管轄区域における処理に適用され得る加盟国固有の除外規定の有無を特定しなければならない。
最近の動向(2024年から2026年)
EDPB協調執行:すべての権利にわたる構造的なギャップ
EDPBの年次協調執行枠組みアクションは、これまでアクセス権(2024年)と消去権(2025年)を対象としてきた。両報告書は同一の構造的な不備を特定した。組織は権利要求を処理するための内部手続を欠いており、回答は不完全または遅延しており、確認要件は不釣り合いであり、訂正または削除の第三者受領者への通知は一貫していない。
2026年のアクションは、第12条から第14条(透明性および情報提供)に焦点を当てている。過去数年のパターンを踏まえ、EDPBはプライバシー通知の質とアクセス可能性における構造的なギャップを予想している。25の参加DPA全体での執行結果は2026年後半までに得られる見込みである。
CJEU:管理者の裁量を狭める
CJEUのアクセスに関する判例は、管理者が遵守を制限する余地を一貫して狭めてきた。事件C-154/21(2023年1月)は、識別可能な場合には実際の受領者の身元の開示を要求している。事件C-487/21(2023年5月)は、すべての個人データについての完全かつ忠実な写しを要求している。2022年まで一般的な慣行であった開示対応(要約表、カテゴリーのみの説明、選別された選択肢)は、現在では準拠していないものとなっている。
デジタル・オムニバス提案(2025年11月)
欧州委員会は、2025年11月19日に、より広範な簡素化イニシアチブの一環として、対象を絞ったGDPR改正を提案するデジタル・オムニバス・パッケージを公表した。データ主体の権利に最も関連する提案は以下を含む。
- 個人が「自らのデータの保護以外の目的」のために権利を濫用していると認定された場合に、管理者がDSARを拒否または手数料を請求できる新たな裁量的根拠。これは、DSARが真のプライバシー保護のためではなく、手段的に利用される雇用訴訟のような場面を対象としている。
- 限られた状況における第13条の透明性要件の縮小案。データが個人本人から直接収集され、個人が既にその情報を知っていると合理的に想定でき、管理者の活動がデータ集約的でない場合。この適用除外は、自動処理、プロファイリング、またはデータ移転が関係する場合には適用されない。
- AI学習のための個人データ処理に異議を申し立てる明示的な無条件の権利。
これらはあくまで提案である。このパッケージは、欧州議会、理事会、委員会の間の三者協議の段階にある。本記事に記載された現行のGDPR上の権利は、改正規則が官報に公表されるまで、完全に効力を有し、変更されていない。
よくある質問
その他のGDPRガイド
- GDPRとは何か 規則とその法的根拠の包括的な概要
- GDPR同意要件 有効な同意の基準および同意とデータ主体の権利との関係
- GDPRコンプライアンスチェックリスト ステップバイステップのコンプライアンス実施ガイド
- GDPR制裁金と罰則 執行データおよび非遵守の結果
- GDPR侵害通知72時間ルール 侵害報告義務
- EUデータプライバシー法 EUデータ保護の全体像
免責事項
本記事は、規則(EU)2016/679(GDPR)に基づくデータ主体の権利に関する一般的な法律情報を提供するものである。本記事はEU GDPRのみを対象としており、英国GDPRまたは加盟国固有の除外規定は扱っていない。本記事の情報は2026年5月19日時点で確認されたものである。GDPRは生きた法制度であり、監督機関のガイダンス、CJEUの判決、執行決定はその規定の解釈を継続的に精緻化している。本記事は法的助言に代わるものではない。貴自身の状況に特化した助言については、貴管轄区域で有資格のデータ保護弁護士またはプライバシー専門家に相談されたい。
著者について
[PLACEHOLDER: 著者一覧は準備中]
引用された典拠
- 規則(EU)2016/679(GDPR):公式全文。https://eur-lex.europa.eu/eli/reg/2016/679/oj
- GDPR第12条:透明な情報、コミュニケーションおよび手続。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
- EDPBガイドライン01/2022、アクセス権について、バージョン2.0(2023年4月)。https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
- EDPBガイドライン5/2019、検索エンジンにおける忘れられる権利について。https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterpublicconsultation_en.pdf
- CJEU事件C-154/21、RW対Österreichische Post AG、2023年1月12日判決。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0154
- CJEU事件C-487/21、F.F.対Österreichische Datenschutzbehörde and CRIF GmbH、2023年5月4日判決。https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0487
- EDPB:消去権の全面的な実施を妨げる課題を特定(2026年2月)。https://www.edpb.europa.eu/news/news/2026/edpb-identifies-challenges-hindering-full-implementation-right-erasure_en
- EDPB CEF報告書2025:消去権の実施。https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
- EDPB:CEF 2026開始、透明性および情報提供義務に関する協調執行。https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- EDPB:CEF 2024、アクセス権の全面的な実施に対する課題(2025年1月)。https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en
- 欧州委員会:GDPR上の権利に関する個人向け情報。https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
- 欧州委員会:データ主体の権利要求への対応。https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
- EDPB:国内監督機関(加盟一覧)。https://edpb.europa.eu/about-edpb/about-edpb/members_en
最終更新日:2026年5月19日。引用されているGDPRの規定は、2026年5月19日時点で効力を有する規則(EU)2016/679を反映している。デジタル・オムニバス提案(2025年11月)は三者協議中であり、本日時点でGDPRを改正するに至っていない。
Frequently Asked Questions
GDPRの8つのデータ主体の権利とは何ですか?
GDPR第III章に基づく8つの権利とは、(1)通知を受ける権利(第13条・第14条)、(2)アクセス権(第15条)、(3)訂正権(第16条)、(4)消去権、別名忘れられる権利(第17条)、(5)処理制限権(第18条)、(6)データポータビリティ権(第20条)、(7)異議申立権(第21条)、(8)自動的な意思決定およびプロファイリングに関連する権利(第22条)である。第12条は、すべての権利に適用される手続上の義務を規律している。
GDPRのデータ主体アクセス要求はどのように行いますか?
自らのデータを保有する組織に対し、メール、書簡、ウェブフォーム、電話など利用可能なあらゆるチャネルを通じて連絡する。自らの個人データにアクセスしたい旨を明確に述べる。第15条を引用したり「アクセス要求」という語句を使用したりする必要はない。組織は暦月1か月以内に対応し、最初の写しは無償で提供しなければならない。請求の記録と送付日を保管しておく。組織が1か月以内に対応しない、または十分な説明なく拒否した場合は、自国のデータ保護当局に苦情を申し立てる。
組織はDSARに対して手数料を請求できますか?
データ主体アクセス要求への最初の回答は無償で提供されなければならない。合理的な事務手数料は、特に反復的な要求である場合など、明らかに根拠がないまたは過剰な要求についてのみ請求できる。管理者は、要求がその基準を満たす理由を立証しなければならない。基準は高く、過去に同じ請求を行っていない者による通常の要求は過剰とはみなされない。
GDPRの消去権は絶対的なものですか?
いいえ。GDPR第17条(3)は、消去権が適用されない6つの状況を定めている。表現および情報の自由の行使のために処理が必要な場合、法的義務の遵守のため、公共の利益における公衆衛生目的のため、消去が目的を著しく損なう場合の公共の利益のためのアーカイブ・科学研究・統計目的のため、または法的請求権の確立・行使・防御のためである。組織は各請求をこれらの適用除外に照らして個別に評価しなければならない。
消去と処理制限の違いは何ですか?
消去権(第17条)は、組織に個人データを完全に削除することを求める。処理制限権(第18条)は、組織にデータの積極的な利用を停止することを求めるが、保管を継続することは認める。制限は、例えば個人が正確性を争い、管理者がそれを検証する間データの保存を望む場合や、個人が法的請求のためにデータの保持を必要とする場合など、暫定的な措置として適切である。
組織が権利行使要求に対応するのにどのくらいの期間がありますか?
請求受領の翌日から暦月1か月である。複雑な請求について、または同一の個人が多数の請求を提出した場合、期限はさらに最大2か月(合計3か月)延長できる。組織は、最初の暦月以内に延長とその理由を個人に通知しなければならない。その期間内に延長通知が送付されない場合、1か月の期限がそのまま適用される。
データポータビリティ権はすべての個人データに適用されますか?
いいえ。第20条に基づくデータポータビリティ権は、処理が同意または個人との契約に基づいており、かつ処理が自動化された手段によって行われている場合にのみ適用される。正当な利益、法的義務、または公共の利益に基づいて処理されるデータには適用されない。また、個人が管理者に提供したデータのみをカバーし、リスクスコア、顧客セグメント、プロファイリング出力などの推論または派生データはカバーしない。
アルゴリズムやAIシステムによる決定に異議を申し立てることはできますか?
特定の状況においては可能である。GDPR第22条は、決定が法的効果または同様に重大な影響を生じさせる場合、個人がプロファイリングを含むもっぱら自動処理に基づく決定に服さない権利を与えている。そのような決定が第22条(2)の例外のいずれかの下で認められている場合、個人には人間の関与を得る権利、自らの見解を表明する権利、決定に異議を申し立てる権利が与えられなければならない。EU AI法の下で高リスクに分類されるAIシステムについては、追加の透明性および人間による監督の義務も適用される。
ダイレクトマーケティングに異議を申し立てるとどうなりますか?
第21条(2)および(3)に基づくダイレクトマーケティングへの異議申立権は絶対的かつ即時的である。いったん異議を申し立てると、組織はダイレクトマーケティング目的のためのデータ処理、およびそのマーケティングに関連するプロファイリングを停止しなければならない。比較衡量テストは適用されず、いかなる正当な根拠もこれに優先することはできない。
デジタル・オムニバス提案とは何ですか、私のGDPR上の権利は変わりますか?
欧州委員会は2025年11月に、GDPRへの対象を絞った改正を提案するデジタル・オムニバス・パッケージを公表した。提案には、個人が権利を濫用していると認定された場合にDSARを拒否する新たな根拠、限られた状況における透明性の適用除外の縮小、AI学習のための処理に異議を申し立てる明示的な権利が含まれる。これらはあくまで提案であり、まだ採択されていない。本記事に記載された既存のすべてのGDPR上のデータ主体の権利は、改正規則がEUの官報に公表されるまで、完全に効力を有し、変更されていない。
Sources and References
- 規則(EU)2016/679(GDPR) 公式全文(eur-lex.europa.eu).gov
- GDPR第12条 透明な情報および手続(eur-lex.europa.eu).gov
- EDPBガイドライン01/2022、アクセス権について(バージョン2.0、2023年4月)(edpb.europa.eu).gov
- EDPBガイドライン5/2019、検索エンジンにおける忘れられる権利について(edpb.europa.eu).gov
- CJEU事件C-154/21、RW対Österreichische Post AG、2023年1月12日(eur-lex.europa.eu).gov
- CJEU事件C-487/21、F.F.対Österreichische Datenschutzbehörde and CRIF GmbH、2023年5月4日(eur-lex.europa.eu).gov
- EDPB 消去権の全面的な実施を妨げる課題(2026年2月)(edpb.europa.eu).gov
- EDPB CEF報告書2025 消去権の実施(edpb.europa.eu).gov
- EDPB CEF 2026:透明性および情報提供義務に関する協調執行(edpb.europa.eu).gov
- EDPB CEF 2024:アクセス権の全面的な実施に対する課題(2025年1月)(edpb.europa.eu).gov
- 欧州委員会 GDPR上の権利に関する個人向け情報(commission.europa.eu).gov
- 欧州委員会 データ主体の権利要求への対応(commission.europa.eu).gov
- EDPB 国内監督機関(加盟一覧)(edpb.europa.eu).gov