GDPR忘れられる権利:第17条による消去(2026年版)

GDPRの忘れられる権利とは、第17条(3)に定める5つの例外のいずれかが管理者に拒否を認めていない限り、第17条(1)に定める6つの具体的な根拠のいずれかに該当する場合、組織に対し自己に関する個人データの削除を求めることができる権利である。この権利は2014年に欧州連合司法裁判所によって法的権利として確立され、規則(EU)2016/679において成文化された。企業データベースからの直接的な消去と、検索エンジンの検索結果からのデリファレンシング(参照解除)の両方をカバーする。管理者は1か月以内に対応しなければならない。
GDPRの8つのデータ主体の権利すべてに関する広範な概要については、GDPRデータ主体の権利を参照されたい。規則全体の背景については、GDPRとは何かを参照されたい。消去を請求するかどうかを決める前に、管理者がどのようなデータを保有しているかを確認できる関連する権利については、GDPR開示請求(SAR)を参照されたい。本ページは、第17条による消去の完全なガイドである。
GDPR忘れられる権利:第17条による消去(2026年版)
GDPR第17条が実際に定めていること
規則(EU)2016/679第17条(1)は、6つの根拠のいずれかが適用される場合、データ主体は自己に関する個人データの消去を不当な遅滞なく管理者から得る権利を有すると定めている。「不当な遅滞なく」という表現は、第12条(3)に定める1か月の対応期限によって具体的な意味を与えられている。
規則の前文65は立法目的を示している。これは、当初収集または処理された目的にもはや必要でなくなった場合、同意が撤回された場合、そして処理の他の法的根拠がない場合、データ主体は個人データの消去および処理停止を求める権利を有するべきであると定めている。前文65は、この権利が最も重要となる文脈としてオンライン環境を特定しており、子ども時代に共有されたデータを優先的な懸念事項として明示的に取り上げている。
前文66は、オンラインでの連鎖的拡散という側面を追加している。すなわち、個人データを公開した管理者は、当該データを処理する他の管理者に対し、当該個人データへのリンクまたはその複製もしくは複写を消去するよう情報提供する義務を負う形で、消去権を拡張すべきであるとしている。この前文は、第17条(2)に定める第三者管理者への通知義務の直接的な構造的基盤であり、元のソースページが公開されたままであっても、検索エンジンのデリファレンシングに消去権を適用するための立法上の根拠を提供している。
これらの前文はそれ自体拘束力のある法規定ではないが、立法者の意図に関する権威ある解釈の指針である。EUの裁判所および監督機関は、実体規定の曖昧さを解決するために前文を用いる。
第17条(1)に基づく消去の6つの根拠
消去請求は、第17条(1)(a)から(f)に定める次の6つの根拠のうち少なくとも1つが貴殿の状況に該当する場合にのみ第17条を発動させる。以下の表は簡易な参照であり、続くセクションで各根拠を説明する。
| 根拠 | 条文 | 発動条件 |
|---|---|---|
| データがもはや不要 | 17条(1)(a) | 当初の目的が終了した |
| 同意の撤回 | 17条(1)(b) | 同意が唯一の法的根拠であり、それを撤回した |
| 異議の成功 | 17条(1)(c) | 第21条の異議が認められた、またはダイレクトマーケティングへの異議 |
| 違法な処理 | 17条(1)(d) | 有効な法的根拠なくデータが収集または保持された |
| 消去の法的義務 | 17条(1)(e) | EUまたは加盟国法が特に削除を要求している |
| 子どものデジタルサービス関連データ | 17条(1)(f) | 子どもであった時にデジタルサービスのために収集されたデータ |
(a) 当初の目的にもはや不要なデータ
ある組織が特定の識別された目的を達成するために貴殿に関するデータを収集し、その目的が終了した場合、当該組織は第5条(1)(e)(保存制限原則)の下で、それを保持し続ける適法根拠を有しない。数年前に貴殿が行った購入から詳細な行動プロファイルを保持し続け、その保持を正当化する継続的な契約上または法的な関係が存在しない小売業者は、その明確な例である。重要な問いは、そのデータが収集された特定の目的のために依然として必要かどうかであり、管理者が仮定的な将来の利用を想像できるかどうかではない。
この根拠は、実務上最も頻繁に援用される。あらゆる処理活動の最も広い範囲に適用されるためである。これは、管理者側の過失または違法性を証明することを要求しない。単に当初の正当化が失効したことを要求するのみである。
(b) 同意が撤回され、他の法的根拠が存在しない場合
貴殿の個人データの処理の唯一の法的根拠が第6条(1)(a)の下での貴殿の同意であり、貴殿がその同意を撤回した場合、管理者はデータを消去しなければならない。重要な限定語は「他の法的根拠がない」ことである。管理者が、第6条(1)(b)の下での契約、第6条(1)(c)の下での法的義務、または第6条(1)(f)の下での正当な利益といった別個の正当化を示すことができれば、同意撤回のみを根拠とした消去を拒否することができる。
実務上、2つの点が重要である。第1に、同意の撤回は将来に向けてのみ効力を有する。撤回前に行われた処理を違法にするものではない。第2に、代替の法的根拠を特定する立証責任は管理者にある。単にそれが存在すると主張するだけでは足りない。どの根拠が適用され、なぜかを具体的に示さなければならない。
(c) 第21条に基づく異議の成功
第21条(1)は、正当な利益または公共の利益のための任務に基づく処理に異議を申し立てる権利を貴殿に与えている。管理者は、貴殿の利益、権利、自由に優先する強制的な正当な理由を示すことによってのみ、貴殿の異議を退けることができる。管理者がそのような理由を有しない場合、異議は成功し、第17条(1)(c)が発動される。すなわち、成功した異議から消去が生じる。
第21条(2)は無条件のルートを設けている。ダイレクトマーケティング目的の処理に異議を申し立てることには、比較衡量テストが一切適用されない。ダイレクトマーケティングに対する異議を受けた管理者は、公共の利益を理由とすることも、(データ自体に独立して適用されるものを除き)いかなる第17条(3)の例外を援用することもできない。第21条(2)の異議は、ダイレクトマーケティング処理に対する完全な障壁であり、その目的のために保有されているデータの消去が続かなければならない。
(d) 違法な処理
データがGDPRに違反して処理された場合(有効な法的根拠なく収集された、適法な期間を超えて保持された、当初の目的と両立しない方法で処理された、または欺瞞的な手段によって取得された)、管理者が依然としてそのデータについて技術的な「目的」を有しているかどうかにかかわらず、消去が可能である。この根拠は、当初からの違法性(データがそもそも収集されるべきではなかった)と、その後の違法な保持(データは適法に収集されたが、許容される期間を超えて保持された)の両方を捕捉する。
一般的な適用例:管理者が同意を法的根拠として依拠し、その同意フォームが無効であった(事前チェック済みボックス、抱き合わせ同意、特定の目的の欠如)場合、処理は当初から違法であった。管理者が事後的に正当な利益を主張しようとしても、根拠(d)は適用される。
(e) EUまたは加盟国法により要求される消去
一部のEU規則および国内法は、義務的な保持期間の後に義務的な削除を課している。そのような法的義務が特に一定期間後の削除を要求する場合、その義務自体が第17条(1)(e)の根拠を発動させる。複数の加盟国における医療記録保持法はその一例である。それらは、記録が法定期間保持された後に破棄されることを要求している。
この根拠は比較的狭い。法的義務は、削除を単に許容する、またはこの点について沈黙しているのではなく、特に削除を要求しなければならない。
(f) 子どもとしてデジタルサービスのために収集されたデータ
第17条(1)(f)は子どものデータに関する根拠であり、管理者が争うのが最も困難なものである。GDPR第8条(1)の下では、情報社会サービス(ソーシャルメディアプラットフォーム、アプリ、オンラインゲーム、類似のデジタル製品)に対するデフォルトの最低同意年齢は16歳である。加盟国はこの下限を最低13歳まで引き下げることができ、多くがそうしている。
適用される国内の閾値を下回っていた際に、有効な親またはガーディアンの同意なしに貴殿について収集されたいかなるデータも、第8条の下で違法に処理されたものである。その違法な収集は、第17条(1)(d)と第17条(1)(f)の両方を同時に発動させる。前文65はこれを明示的に取り上げており、忘れられる権利は、データ主体が収集時点で子どもであった場合に特に重要であると述べている。
決定的に重要なのは、この根拠は貴殿が現在成人であっても適用されるということである。関連する事実は、データが収集された時点の年齢であり、現在の年齢ではない。ある加盟国において同意年齢が16歳である場合に貴殿が14歳でソーシャルメディアアカウントを作成したのであれば、貴殿は成人として、その期間に収集されたすべてのデータの削除を求めるために、第17条(1)(f)と(d)を併せて援用することができる。プラットフォームは、消去請求に対抗するために、成人としての現在の適法な関係を援用することはできない。その請求が子ども時代に収集されたデータに向けられている場合である。
唯一の実際上の制限は第17条(3)の例外である。一部のデータが法的義務(例えば税法上要求される金融取引記録)の下で保持されなければならない場合、その特定の部分は保持される可能性がある。しかし、行動プロファイル、広告データ、未成年者として投稿したコンテンツ、純粋に運用上の目的に供する記録は、いかなる第17条(3)の例外にも該当する可能性は低い。
5つの例外:第17条(3)の下で消去が拒否され得る場合
第17条(1)の6つの根拠のいずれかが適用される場合であっても、継続する処理が第17条(3)(a)から(e)に列挙された5つの目的の一つのために必要である場合、管理者は適法に消去を拒否することができる。以下の表は、それぞれを説明する前に、これらの例外を要約する。
| 例外 | 条文 | 典型的な適用 |
|---|---|---|
| 表現および情報の自由 | 17条(3)(a) | ジャーナリズム、ニュースアーカイブ、公共の利益に関する論評 |
| 法的義務または公共の利益のための任務 | 17条(3)(b) | 税務記録、健康記録、規制遵守 |
| 公衆衛生 | 17条(3)(c) | 疾病サーベイランス、医学研究 |
| アーカイブ、研究、統計 | 17条(3)(d) | 公共の利益のためのアーカイブ、科学研究データセット |
| 法的請求 | 17条(3)(e) | 訴訟、規制調査、仲裁 |
どの例外が適用されるかを特定し、請求を拒否する際にそれを書面で貴殿に伝達する立証責任は管理者にある。第17条(3)から具体的な根拠を引用しない一律の拒否は、それ自体GDPR違反である。
(a) 表現および情報の自由
ジャーナリズム、論評、意見表明、公共の利益に関する報道、そして真に公共の関心事に関する情報のアーカイブ化は、いずれもこの例外の範囲に含まれ得る。これは、検索エンジンの文脈において最も多く争われる例外であり、事業者は、個人に関するニュース記事へのリンクを保持することを正当化するために日常的にこれを援用する。
この例外は無制限ではない。私人に関するすべての公開記事が、公共の利益における保護された表現に該当するわけではない。バランスは、事象が古いこと、本人が公的役割を果たしていなかったこと、その情報が現在の公共の目的に資さないこと、または本人が当時未成年であったことといった要因によってプライバシー側に傾く。バランスは、対象が公人であること、その情報が公的職務の行使に関するものであること、事象が最近のものであること、または公衆が真に継続的な関心を有することといった要因によって表現側に傾く。検索エンジン事案における忘れられる権利の基準に関するEDPBガイドライン5/2019は、この評価を行うための非網羅的な基準リストを定めており、公的生活における本人の役割、情報の性質、経過した時間、そして更生に関する考慮事項を含む。
(b) 法的義務、公共の利益のための任務、または公的権限の行使
EUまたは加盟国法が管理者にデータの保持を要求する場合、請求に応じて単純にそれを消去することはできない。雇用法、税法、社会保障法、マネーロンダリング対策要件、医療記録保持規則は、義務的な保持期間の最も一般的な源泉である。公的機関および公的職務を行使する団体もまた、第6条(1)(e)の下で公共の利益のための任務の遂行または公的権限の行使のために処理が必要な場合には、この例外の範囲に含まれる。
この例外は、保持が法的義務または公共の利益のための任務のために真に必要であることを要求する。管理者は、商業的理由から保持したいデータを保持するための口実として、間接的に関連する法規則を持ち出すことはできない。
(c) 公衆衛生
公衆衛生の分野における公共の利益のために必要な処理(疾病モニタリング、疫学、医薬品安全性監視、国境を越えた健康脅威への対応)は、特に第9条に基づく特別カテゴリーの健康データについて、消去請求に優先し得る。この例外は、民間企業よりも公衆衛生機関および医療提供者によってより頻繁に援用される。
(d) 公共の利益のためのアーカイブ、科学的研究、歴史的研究、または統計
消去請求は、データが公共の利益のためのアーカイブ目的、または科学的もしくは歴史的研究、または統計目的のために処理されている場合であって、消去請求を認めることがこれらの目的の達成を著しく損なう場合には拒否され得る。国立公文書館、長期にわたる学術研究プロジェクト、公的統計データセットは、この例外の恩恵を最も一般的に受けるものである。
重要な限定語は「著しく損なう」ことである。管理者は、将来の研究に有用となり得るいかなるデータセットについても、この例外を包括的な盾として援用することはできない。損害は明らかに著しいものでなければならず、研究目的は真に公共の利益に資するものでなければならない。
(e) 法的請求の確立、行使、または防御
組織が訴訟、仲裁、規制手続、または類似の法的手続を開始、遂行、または防御するためにデータを保持する必要がある場合、この例外を援用することができる。これは、雇用紛争(不当解雇の請求を防御するために人事記録が必要な場合)、金融サービスの文脈(規制調査のために取引記録が必要な場合)、保険金請求、専門職の過失の事案において頻繁に依拠される。
この例外は、管理者の記録セット全体ではなく、特定の法的請求または手続のために必要なデータのみをカバーする。手続が終結すれば、この例外の下での継続的な保持の正当化は消滅する。
他の管理者への連鎖:第17条(2)
第17条(2)は、管理者がすでに貴殿の個人データを公開している場合(例えばウェブサイトに投稿する、広告パートナーと共有する、またはデータマーケットプレイスを通じて配布する)の状況を扱う。当該管理者が第17条(1)の下で公開したデータを消去することを要求される場合、第17条(2)は、利用可能な技術および実施コストを考慮し、当該管理者に対し、技術的措置を含む合理的な措置を講じて、貴殿が消去を請求したことを、当該データを処理している他の管理者に、当該データへのリンクまたはその複製もしくは複写について通知することを要求する。
この規定こそが、忘れられる権利を単一企業に向けた単純な削除請求とは構造的に異なるものにしている。データを公開した管理者は、下流の管理者に消去請求を通知する義務を負う。それらの下流の管理者は、その後独立して、自らのシステム内で消去義務を遵守する責任を負う。
検索エンジンの文脈では、第17条(2)は、元の公開者への請求とは別に、検索エンジン事業者に直接デリファレンシング請求を提出するための独立した根拠を生み出す。あるウェブサイトが貴殿に関する適法に公開されたコンテンツを保有している場合、検索エンジン自体が第17条(2)の意味におけるその公開データを処理してきた管理者であるため、貴殿は検索エンジンにデリファレンシングを請求することができる。デリファレンシングを請求するために、まずソースページの削除を得る必要はない。
消去は開示請求とどう異なるか
第17条に基づく消去権と、第15条に基づくアクセス権(開示請求、SAR)は、しばしば連続して用いられるものの、異なる目的に資する別個の権利である。
第15条に基づく開示請求は、管理者が貴殿に関する個人データを保有しているかどうかの確認、そのデータの写し、そしてそれがどのように処理されているかに関する情報を得る権利を貴殿に与える。その情報は、目的、法的根拠、受領者、保持期間をカバーする。SARは情報収集の権利である。それは、その情報をもとに何をすべきかを決定する前に、管理者が何を保有しているかを把握させるものである。
第17条に基づく消去権は行為の権利である。それは管理者にデータの削除を指示する。2つの権利は論理的に関連しているが、手続上は別個である。SARは消去義務を発動させず、消去請求は削除前のデータの写しを受け取る権利を与えるものではない。
実務上、多くのプライバシー・アドバイザーは、管理者が正確にどのようなデータを保有しているか、その法的根拠、その保持方針を把握するために、まずSARを提出することを推奨している。その情報を武器に、貴殿は第17条(1)のどの根拠が適用されるかをより適切に特定し、管理者がどの第17条(3)の例外を援用しそうかを予測することができる。
両方の権利は、第12条(3)の下で同一の1か月の対応期限に服し、第12条(5)の下でいずれも無料である。
この権利が生まれた場所:Googleスペイン事件(C-131/12号、2014年)
検索エンジンに適用される忘れられる権利は、GDPRに先行する。それは、2014年5月13日に判決が下された事件C-131/12号、Google Spain SLおよびGoogle Inc.対スペイン個人データ保護庁(AEPD)およびMario Costeja Gonzalez、大法廷において、欧州連合司法裁判所によって創設された。この事件は、当時適用されていたデータ保護指令95/46/ECの下で提起された。GDPRはその後、第17条においてこの原則を成文化し強化した。
事実関係:スペイン国民であるMario Costeja Gonzalez氏は、自らの名前を検索すると、既に解決済みであった債務関連の不動産競売に関する1998年の新聞公告が表示される検索結果の削除をGoogleに求めた。元の新聞記事は適法に公開されたものであった。争点は、Googleがこれらの結果を索引付けし返すことによって、それ自体データ保護義務の対象となるかどうかであった。
裁判所は、判決文33項において、検索エンジンの活動(第三者によってインターネット上で公開または掲載された情報を発見し、それを自動的に索引付けし、一時的に保存し、優先順位に従って利用者が利用できるようにすること)は、その情報が個人データを含む場合には個人データの処理として分類されなければならないと判示した。これは根本的な問いを解決した。検索エンジンは受動的な導管ではない。
判決文34項において、裁判所は、検索エンジンの事業者は、その処理の目的および手段を決定するため、指令95/46/EC第2条(d)(現GDPR第4条(7))の意味における当該処理の管理者とみなされなければならないと判示した。これは、デリファレンシングの権利を法的に可能にした閾値となる認定であった。検索エンジンはデータ保護義務を負うデータ管理者である。
消去権の実体について、裁判所は判決文88項において、検索エンジン事業者は、ある人物の氏名に基づいて行われた検索の結果として表示される、当該人物に関する情報を含む第三者が公開したウェブページへのリンクを、それらのページ自体における公開が適法であったとしても、結果の一覧から削除する義務を負うと判示した。したがって、検索結果からの削除の権利は、ソースページの適法性とは独立している。
判決文81項の比較衡量テストは、規律を定める基準を提供している。EU基本権憲章第7条および第8条に基づくデータ主体のプライバシーおよびデータ保護の権利は、「原則として、検索エンジン事業者の経済的利益だけでなく、当該情報へのアクセスに対する一般公衆の利益にも優先する」。例外は、データ主体が公的生活において果たした役割などの特定の理由により、基本権への干渉が、問題となる情報へのアクセスに対する一般公衆の優越的利益によって正当化される場合である。これが、今日に至るまですべてのデリファレンシング判断の中心にある公人区分の基礎となっている。
デリファレンシングはどこまで及ぶか:Google対CNIL事件(C-507/17号、2019年)
2018年5月のGDPR施行後、フランスのデータ保護当局(Commission nationale de l'informatique et des libertes、CNIL)は、EU加盟国向けドメインだけでなく、その検索エンジンのすべてのバージョンについて世界規模でのデリファレンシングを実施するようGoogleに命じた。CNILは、EU向けドメインへのデリファレンシングの限定は、EUの利用者がgoogle.comまたは他の非EUドメイン経由で容易に削除済みの結果にアクセスできるため実効性がないと判断した。
Googleは世界規模での適用に異議を申し立てた。2019年9月24日に判決が下された事件C-507/17号、Google LLC対CNIL、大法廷において、CJEUは、EU法は世界規模でのデリファレンシングを要求しないと判示した。
主たる判示は、検索エンジンの事業者は、その検索エンジンのすべてのバージョンについて世界規模でデリファレンシングを実施することを要求されるのではなく、すべての加盟国に対応するバージョンについて実施することを要求されるというものであった。この結論は2つの理由に基づいている。第1に、第3条に基づくGDPRの地理的適用範囲および第17条に基づく忘れられる権利は、EUの立法意図として、EU域外に及ぶ要件を課すものではない。第2に、多数の第三国はデリファレンシングの権利を認めていないか、実質的に異なるアプローチを取っており、EU基準を世界規模で課すことは、事実上EU法にそれらの法域の法的選択を上書きさせることになる。
しかし、この判決はEUの利用者を実際上のアクセスに関して無防備にするものではない。裁判所は、EU域内において、デリファレンシングを行う事業者は、EUの利用者が非EU版の検索エンジンを経由して削除済みリンクにアクセスすることを防止するため、十分に効果的な措置を実施しなければならないと判示した。実務上、これはジオブロッキングを意味する。フランスにいる利用者がgoogle.frではなくgoogle.comにアクセスした場合でも、その利用者のEU域内での地理的位置に基づき、削除済みの結果は依然として非表示にされなければならない。
実務上の結果:デリファレンシングの請求が認められると、リンクはgoogle.fr、google.de、google.it、その他すべてのEUドメイン版から削除される。ジオブロッキングにより、EU域内の利用者がgoogle.comで削除済みの結果を見ることを防止すべきである。同じリンクは、EU域外からgoogle.comにアクセスする米国または日本の利用者には引き続き表示される。
EDPBの執行と2025年協調アクション
欧州データ保護会議(EDPB)は、GDPRの下での検索エンジン事案における忘れられる権利の基準に関するガイドライン5/2019を発しており、2020年7月に公開協議を経て最終化された。これらのガイドラインは、13のカテゴリーの事案(刑事手続で役割を果たしたデータ主体から犯罪の被害者、公人に至るまで)を定め、デリファレンシング請求を認めるべきか拒否すべきかを評価する際に監督機関が考慮すべき要因を特定している。
2026年2月、EDPBは、EU全域の管理者が実務上どのように消去請求を実施しているかを検証した、消去権に関する協調執行アクション(CEF 2025)の結果を公表した。この協調アクションは広範な問題を発見した。請求を認めた旨を伝えるものの、実際に消去が実施されたかどうかを確認しない不完全な回答。どの具体的な例外が適用されるかを適切に特定しないまま例外に依拠すること。そして、認められた2か月の延長を援用することなく1か月の期限を超えて対応が遅延することである。この報告書は、参加加盟国の監督機関に対し、体系的なコンプライアンス上の不備を有する管理者へのフォローアップを指示した。
この協調執行メカニズムは、EDPBが体系的な問題にどのように対処するかにおける成熟を反映している。各国のDPAが独立して非遵守を特定するのに任せるのではなく、EDPBは現在、優先度の高い権利について複数の法域にわたる同時執行の掃討を調整している。消去は、不完全な回答および不当な拒否に関する苦情の量のため、まさに2025年の掃討対象として選ばれた。
管理者に消去請求を提出する方法
第12条(3)は、請求受領から1暦月以内の対応を要求している。所定の様式はない。メール、オンラインのプライバシー権利ポータル、または郵便による書面で提出することができる。GDPRの下で運営するほとんどの大規模組織は現在、通常はウェブサイトのフッターから「プライバシー権利」、「データ主体請求」、「マイ・プライバシー・チョイス」といったラベルでリンクされた専用のプライバシー権利ポータルを維持している。
請求に含めるべき事項
貴殿の請求は、管理者が貴殿を特定し、何を求めているかを理解できるよう十分に具体的でなければならない。次を含めること。
- 貴殿の氏名、および組織が貴殿を識別するために用いる識別子。メールアドレス、アカウントのユーザー名、顧客番号、参照番号など。
- 消去を求める具体的なデータまたはデータのカテゴリー。より正確であるほどよい。事前に開示請求を行っていれば、管理者が何を保有しているかについてより明確な把握が得られる。
- 貴殿が依拠する第17条(1)の根拠。根拠を名指しすることは法律上必須ではないが、管理者の注意を集中させ、回答が曖昧になることを難しくする。例えば、「私は、当該データが収集された目的にもはや必要ではないため、GDPR第17条(1)(a)に基づき消去を請求します」または「第17条(1)(b)に基づき、ここに私の同意を撤回し、他の法的根拠は存在しません」といった文言である。
- 消去が実施されたこと、削除されたデータのカテゴリーを特定する書面による確認の請求。
- 回答のための貴殿の連絡先詳細。
第12条(5)の下では、回答は無料である。請求が(特にその反復的な性質のために)明白に根拠のないものまたは過剰なものである場合、管理者は合理的な手数料を請求するか対応を拒否することができるが、その閾値を証明する立証責任は完全に管理者にある。単一の明確に定式化された消去請求は、過剰であるとして却下することはできない。
本人確認
管理者は、商業的に合理的な手段によって身元を確認できない場合、身元確認のために追加情報の提供を貴殿に求めることができる。これを、請求を全面的に拒否するための口実として、または通知なく対応期間を延長するために用いることはできない。第12条(6)は、管理者がデータ主体の身元を確認するために必要な追加情報を請求することを認めているが、これは速やかに行われなければならず、1か月の対応期限を引き延ばすために検証手続を利用してはならない。
提出後に起こること:期限とエスカレーション
第12条(3)は、管理者に対し請求受領から1暦月の対応期間を与えている。複雑な事案または同時に多数の請求がある場合、第12条(3)はさらに2か月の延長を認めているが、管理者はその延長とその理由を最初の1か月以内に貴殿に通知しなければならない。貴殿は、いかなる場合でも最低限、1か月以内に実質的な確認を受け取るべきである。沈黙は有効な回答ではない。
管理者が貴殿の請求に応じて行動する場合、消去が実施されたことを確認し、削除されたデータまたはデータのカテゴリーを特定しなければならない。「ご請求を承りました」とのみ述べ、対応の実施を確認しない回答は、第12条に準拠しない。
管理者が対応しないことを決定する場合、第12条(4)は、遅滞なく、遅くとも受領から1か月以内に、対応しない理由と、2つのエスカレーション経路、すなわち監督機関(貴殿の国のデータ保護当局、DPA)に苦情を申し立てる権利、および管理者が設立されている加盟国の裁判所において管理者に対し直接司法救済を求める権利について、貴殿に通知することを要求している。
第17条の違反(期限内の対応の失敗または不当な拒否を含む)は、データ主体の権利侵害としてGDPR第83条(5)(b)に該当する。最大の行政制裁金は2,000万ユーロ、または事業体の場合は前会計年度における全世界年間総売上高の4%のいずれか高い方である。
検索エンジンのデリファレンシング請求を提出する方法
第17条(1)および17条(2)に基づく検索結果からのデリファレンシングについては、コンテンツをホストするウェブサイトではなく、検索エンジン事業者に直接請求を提出する。検索エンジンは独立した管理者である。
貴殿の請求は次を特定すべきである。
- 検索結果から削除を求める具体的なURL(検索結果ページから正確なリンクをコピーすること)。
- 貴殿の氏名との関連でそれらのURLを表示させる検索クエリ。
- 貴殿が依拠する第17条(1)の根拠。
- その結果が貴殿のプライバシー上の利益との関係でなぜ関連性がない、時代遅れである、過剰である、またはその他不当であるか。例えば、事象が古いこと、貴殿が公人ではなかったこと、その事案が既に解決していること、または当時未成年であったことなどである。
検索エンジン事業者は、デリファレンシング請求を個別に審査する。特に公人、最近または進行中のニュース事象、真に公共の利益にかなう職業上の行動に関する情報について、第17条(3)(a)の公共の利益の例外が適用されると判断した場合には拒否することがある。検索エンジンが請求を拒否した場合、貴殿は貴殿の国のDPAにエスカレーションすることができ、DPAは調査を行い、拒否が不当であると認めた場合には事業者に遵守を命じることができる。貴殿はまた、事業者のEU拠点が所在する加盟国の裁判所で直接拒否を争うこともできる。
英国GDPR:ブレグジット後の同等制度
ブレグジット後、英国は2018年欧州連合(離脱)法および2018年データ保護法の下で、GDPRを英国GDPRとして維持した。英国GDPRの下での消去権は、その中核的な構造においてEU GDPR第17条を反映している。第17条(1)の同一の6つの根拠、第17条(3)の同一の5つの例外、そして第12条(3)の下での同一の1か月の対応期限である。
EU GDPRとの主な相違点:
英国GDPRは、EU加盟国の監督機関またはEDPBではなく、情報コミッショナー事務局(ICO)によって執行される。貴殿が英国に所在し、消去請求が拒否された場合、貴殿は大陸のDPAにではなくICOに苦情を申し立てる。
ICOは、消去権について、個人と組織の双方向けの詳細なガイダンスを公表しており、消去が必要かどうかの評価方法、子どもからの請求の取り扱い方、例外が適用される時期を扱っている。そのガイダンスは同一の第17条の枠組みに基づいているが、ブレグジット後、2つの法制度が独立して発展するにつれてEDPBのガイダンスから乖離する可能性がある。
個人にとって:英国に設立された管理者に対し消去権を行使する英国居住者はICOに苦情を申し立てる。EU GDPRの下で英国居住者のデータを処理するEUに設立された管理者に対し権利を行使する英国居住者は、EU法の執行目的のために関連するEU加盟国のDPAとも引き続き関わる必要があるが、実際上の解決には両方の当局が関与することが多い。
米国連邦レベルでの同等制度は存在しない
GDPRの忘れられる権利に相当する包括的な米国連邦法は存在しない。米国には、消費者に対し民間組織からの個人データの消去を求める普遍的な権利を付与する一般的な連邦データプライバシー法は存在しない。
最も近い米国の州レベルの類似制度は、カリフォルニア州民法1798.105条に成文化された、カリフォルニアプライバシー権法(CCPA/CPRA)によって改正されたカリフォルニア消費者プライバシー法の下での削除権である。その権利は、特定の売上高またはデータ量の閾値を満たす対象事業者を扱うカリフォルニア居住者にのみ適用され、独自の広範な例外リストを含んでいる。
連邦レベルでは、児童オンラインプライバシー保護法(COPPA)、15 U.S.C.第6501条は、COPPA対象事業者によって13歳未満の子どもからオンラインで収集された個人データの削除を請求する権利を親に与えている。COPPAの閾値は13歳に固定されており、州レベルの裁量はない。COPPAは子ども向けの事業者、または子どもからの収集について実際の認識を有する事業者にのみ適用され、その権利は本人ではなく親に帰属する。
米国の裁判所は一般に、修正第1条および通信品位法第230条に依拠し、適法なコンテンツの検索エンジンからの削除を強制する権利を認めることを拒んできた。米国居住者は、現行の連邦法の下で第17条の消去請求を再現することはできない。
実務上のステップ:要約チェックリスト
個人として請求を行う場合であれ、組織として請求への対応方法を決定する場合であれ、以下のステップは第17条の枠組みを反映している。
消去を請求する個人向け:
- 貴殿の状況に該当する第17条(1)の6つの根拠のうちどれかを特定する。
- 特に根拠(a)(もはや不要なデータ)が適用されるか不確かな場合は、まず第15条に基づく開示請求を提出し、管理者が正確にどのようなデータを、どの法的根拠に基づき保有しているかを確認することを検討する。
- 根拠、具体的なデータ、貴殿の連絡先詳細を明記して、書面で消去請求を提出する。無料である。
- 提出日を記録する。1か月の期限は受領時点から起算される。
- 管理者が1か月以内に対応しない場合、または具体的な第17条(3)の例外を引用せずに拒否した場合、貴殿の国のDPA(英国の場合:ICO)に苦情を申し立てる。
- 検索エンジンのデリファレンシングについては、具体的なURLと理由を添えて事業者のプライバシー権利フォームに直接提出する。
消去請求に対応する組織向け:
- 比例的な手段を用いて請求者の身元を確認し、速やかに対応する。
- 6つの根拠のいずれかが適用されるかを評価する。
- 根拠が適用される場合、いずれかの第17条(3)の例外が継続的な保持を正当化するかを評価する。評価を文書化する。
- 消去する場合、どのデータが削除されたかを書面で確認する。
- 拒否する場合、拒否通知に正確な第17条(3)の例外を明記し、監督機関への苦情申立ておよび司法救済を求める権利について請求者に通知する。
- データが公開されている場合、第17条(2)の連鎖義務を遵守し、下流の管理者に消去請求を通知する。
- 1か月以内に対応する。延長が必要な場合、最初の1か月が経過する前に、請求者にその旨と理由を通知する。
免責事項: 本ページは、GDPR消去権に関する一般的な法律情報を提供するものであり、法的助言ではない。データ保護法は複雑な事実に基づく評価を伴い、重要な点でEU加盟国間で異なる。データ主体または管理者として具体的な消去に関する状況に直面している場合は、資格を有するデータ保護弁護士または貴殿の国のデータ保護当局に相談されたい。
関連ガイド
Frequently Asked Questions
GDPRの下での忘れられる権利とは何ですか?
忘れられる権利とは、規則(EU)2016/679(GDPR)第17条に基づく消去権の通称である。これは、6つの具体的な根拠のいずれかが適用される場合に、個人が管理者(自己の個人データを処理するあらゆる組織)に対し、当該データを不当な遅滞なく削除するよう請求する権利を認めるものである。それらの根拠には、データが収集目的にもはや不要であること、同意が撤回されたこと、本人が処理に対する異議に成功したこと、処理が違法であったこと、法的義務が削除を要求すること、またはデータがデジタルサービスのために子どもとして本人から収集されたことが含まれる。この権利は絶対的ではない。第17条(3)の5つの例外により、表現の自由、法的義務、公衆衛生、研究目的、または法的請求の防御のために継続的な処理が必要な場合、管理者は拒否することができる。
GDPRの下で消去を請求するにはどうすればよいですか?
組織のウェブサイトのフッターから通常リンクされている、管理者のデータ保護担当窓口またはプライバシー権利ポータルに書面による消去請求を提出する。貴殿の氏名およびアカウント識別子を含め、削除を求めるデータまたはデータのカテゴリーを特定し、貴殿が依拠する第17条(1)の根拠を述べ、完了の書面による確認を求める。請求は無料である。管理者は1暦月以内に対応しなければならない。拒否する場合は理由を示し、貴殿の国のデータ保護当局にどのように苦情を申し立てるかを伝えなければならない。1か月以内に全く対応がない場合、それ自体がGDPR違反であり、貴殿の国のDPAに苦情を申し立てることができる。
GDPRの下での忘れられる権利の例外は何ですか?
第17条(3)は、第17条(1)の6つの根拠のいずれかが満たされる場合であっても、管理者が消去請求を拒否することを認める5つの例外を定めている。それらの例外は次のとおりである。(a)表現および情報の自由。ジャーナリズム、論評、公共の利益のためのアーカイブをカバーする。(b)法的義務の遵守または公共の利益のための任務の遂行。雇用、税務、健康、金融法の下での義務的な保持期間をカバーする。(c)公衆衛生。疾病サーベイランスおよび医学研究をカバーする。(d)公共の利益のためのアーカイブ、科学的もしくは歴史的研究、または統計。消去が研究を著しく損なう場合。そして(e)法的請求の確立、行使、または防御。訴訟および規制手続をカバーする。管理者は具体的に適用可能な例外を特定し、それを書面で貴殿に伝達しなければならない。根拠を引用しない一律の拒否は、それ自体GDPR違反である。
忘れられる権利はGoogleの検索結果に適用されますか?
適用される。欧州連合司法裁判所は、Googleスペイン事件(事件C-131/12号、2014年)において、検索エンジンはデータ管理者であり、第17条(1)の根拠のいずれかが適用される場合、たとえ元のウェブページが適法に公開されたままであっても、請求に応じて結果からリンクを削除しなければならないと判示した。デリファレンシング請求は、検索エンジン事業者に直接提出する。しかし、Google対CNIL事件(事件C-507/17号、2019年)は、EU法が世界規模での削除を要求しないことを確認した。この義務は、EU加盟国向けの検索エンジンのバージョン(google.fr、google.deなど)に限定されるが、ジオブロッキングにより、EUの利用者がgoogle.comのような非EUドメイン経由で削除済みの結果にアクセスすることを防止しなければならない。
消去を請求した後、企業が私のデータを削除するまでどのくらいの期間がありますか?
GDPR第12条(3)の下では、管理者は貴殿の請求受領から1暦月以内に行動し、その行動を確認しなければならない。この1か月は、確認ではなく請求が受領された日から起算される。管理者は、複雑な事案または高い件数の請求について、さらに2か月まで延長することができるが、その延長を、最初の1か月以内に貴殿に通知し理由を説明しなければならない。1か月を超える沈黙はGDPR違反である。1か月以内に回答を受け取らない場合は、貴殿の国のデータ保護当局に苦情を申し立てること。
自分が子どもであった時に収集されたデータの消去を請求できますか?
できる。これは利用可能な最も強力な消去根拠の一つである。GDPR第17条(1)(f)は、情報社会サービス(ソーシャルメディアプラットフォーム、アプリ、ゲーム、または類似のデジタルサービス)のために子どもとして貴殿から収集された個人データの消去を請求する権利を認めている。GDPRはそのようなサービスの最低同意年齢を16歳に設定しているが、加盟国はこれを最低13歳まで引き下げることができる。適用される年齢閾値を下回っていた時に貴殿からデータが収集された場合、その収集は違法であり、貴殿は第17条(1)(d)(違法な処理)と第17条(1)(f)の両方の根拠を有する。貴殿は成人としてこの請求を行うことができる。重要なのは収集時の年齢であり、現在の年齢ではない。
GDPR消去請求と開示請求の違いは何ですか?
GDPR第15条に基づく開示請求(SAR)は情報の権利である。それは、管理者が貴殿に関するどのような個人データを保有しているか、なぜ保有しているか、そしてそれをどのように処理しているかを知る権利を貴殿に与える。第17条に基づく消去請求は行為の権利である。それは管理者にデータの削除を指示する。この2つの権利はしばしば連続して用いられる。まずSARによってどのようなデータが存在しどの法的根拠に基づくかを特定し、その情報を得た後に消去請求を行う。両方とも無料であり、第12条の下で1か月の対応期限を有する。SARを行うことは自動的に消去を発動させず、消去請求を行うことは削除前にデータの写しを受け取る権利を与えるものではない。
忘れられる権利は世界全体に適用されますか、それともEU域内のみですか?
GDPRの消去権は、EU域内に所在するデータ主体、およびEU域内に設立された、またはEU居住者を対象とする管理者に適用される。それは、非EU企業による非EU個人の処理を自動的にカバーするものではない。特に検索エンジンのデリファレンシングについては、Google対CNIL事件(C-507/17号、2019年)においてCJEUは、EU法がEU加盟国向けの検索エンジンのバージョンからの削除のみを要求し、世界規模ではないと判示した。米国居住者は米国企業にデータの消去を求めるGDPR上の権利を有しないが、カリフォルニア州のCCPAの削除権のような米国州法の下での権利を有する場合がある。
企業が私の消去請求を拒否した場合、どうすればよいですか?
管理者が貴殿の消去請求を拒否する場合、具体的な第17条(3)の例外を引用した書面による理由を提示しなければならず、どのようにエスカレーションするかを伝えなければならない。主に2つの経路がある。第1に、貴殿の国の監督機関(英国ではICO、フランスではCNIL、ドイツでは関連する州DPAまたはBfDI、アイルランドではDPC)に苦情を申し立てること。これにより調査を行い、管理者に遵守を命じることができる。第2に、第79条GDPRに基づき、管理者が設立されている加盟国の裁判所で管理者に対し直接司法救済を求めることである。不当な拒否や、全く対応しないことは、最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方の行政制裁金につながり得る。
米国には忘れられる権利がありますか?
GDPRの忘れられる権利に相当する連邦レベルの制度は米国には存在しない。最も近い類似制度は、カリフォルニア州民法1798.105条に成文化された、カリフォルニア州のCCPA/CPRAの下での削除権であり、対象事業者を扱うカリフォルニア居住者にのみ適用され、広範な例外を含む。連邦レベルでは、COPPAが13歳未満の子どもから収集されたデータの削除を請求する権利を親に与えているが、その範囲は狭く、子ども向けサービスの事業者にのみ適用される。米国の裁判所は一般に、修正第1条および通信品位法第230条に依拠し、検索エンジンに適法なコンテンツの削除を要求することを拒んできた。
Sources and References
- 規則(EU)2016/679(GDPR)、第12条、第17条、第21条および前文65-66を含む全文(eur-lex.europa.eu)
- CJEU、事件C-131/12号、Google Spain SLおよびGoogle Inc.対AEPDおよびMario Costeja Gonzalez、大法廷、2014年5月13日(eur-lex.europa.eu)
- CJEU、事件C-507/17号、Google LLC対情報自由委員会(CNIL)、大法廷、2019年9月24日(eur-lex.europa.eu)
- EDPBガイドライン5/2019、GDPRの下での検索エンジン事案における忘れられる権利の基準について、公開協議後2020年7月7日採択(edpb.europa.eu)
- EDPB協調執行アクション:管理者による消去権の実施(CEF 2025報告書、2026年2月18日)(edpb.europa.eu)
- カリフォルニア州民法1798.105条(CCPA/CPRA削除権)、カリフォルニア州立法情報(leginfo.legislature.ca.gov)