1. はじめに:2025年協調執行フレームワークの概要

欧州データ保護委員会(EDPB)は、2025年3月5日、2025年の協調執行フレームワーク(CEF)の取り組みを開始したことを発表しました。CEFは、EU/EEA各国の監督機関(DPA)が共通テーマについて協調して調査・執行を行う共同プロジェクトです。
これまでのテーマは、2022年「公共部門によるクラウドサービスの利用」、2023年「DPOの指定と役割」、2024年「アクセス権の履行状況」であり、2025年のテーマはGDPR第17条「消去権(「忘れられる権利」)」となっています。
消去権がテーマに選ばれた理由として、消去権は、監督機関が受け取る苦情の中で最頻項目であり、実務運用を欧州全域で同時に点検する意義が大きいと説明されています。

 

 

2. 消去権の概要

(1) 消去権の要件(GDPR第17条第1項)

GDPR第17条に定められる消去権は、データ主体が自身の個人データの消去を管理者に求める権利であり、管理者は、以下のいずれかの要件に該当する場合、遅滞なく当該データを消去する義務を負います。

  • 個人データが処理目的との関係で不要となった場合。
  • データ主体が同意を撤回し、処理のための法的根拠が他に存在しない場合。
  • データ主体が処理に異議を述べ、かつ、その処理のための優越する正当な根拠が存在しない場合。
  • 個人データが違法に処理された場合。
  • 管理者が服する法令上の義務を遵守するために消去が必要な場合。
  • 情報社会サービスの提供に関連して収集された個人データの場合(特に児童のデータ保護)。

(2) 消去権が制限される例外(GDPR第17条第3項)

ただし、消去権は絶対的な権利ではなく、以下のいずれかの理由で処理が必要な場合には、管理者の消去義務が制限されます。

  • 表現および情報の自由の権利行使のため。
  • 法的義務の遵守、公益上の業務、公的権限の行使のため。
  • 公衆衛生分野における公益上の理由のため。
  • 公益のためのアーカイブ目的、科学的・歴史的研究目的、または統計目的のため。
  • 法的請求の立証、行使、または防御のため。

(3) 管理者における消去権対応(GDPR第12条)

データ主体から消去請求を受けた場合、管理者には、GDPR第12条に基づき、以下のような対応義務が課せられます。

  • 対応期限: 管理者は、請求に応じる義務があるか否かを判断し、義務があれば「遅滞なく」、かつ「原則として1か月以内」にその対応に関する情報をデータ主体に提供する必要があります。請求の複雑さや数によっては、この期間をさらに「2か月延長」することが可能ですが、その場合、最初の1か月以内にデータ主体に延長理由を通知しなければなりません。
  • 拒否の場合の通知: 請求に応じない場合、管理者は「遅滞なく」、かつ「遅くとも1か月以内」に、拒否理由、監督機関への異議申立ての可能性、および司法上の救済を求めることができる旨をデータ主体に通知する必要があります。
  • 本人確認: 請求者の本人性に合理的な疑義がある場合、管理者は本人確認のために必要な追加情報を求めることができますが、これは処理されるデータの種類や請求の性質に対して「比例的」でなければなりません。国民IDカードのコピーをデフォルトで要求することは、データ最小化の原則に違反し、不均衡と見なされる可能性があります。
  • 「明らかに根拠がない」または「過度な」請求: 請求が「明らかに根拠がない」または「過度な」(特に反復的な性質を持つため)である場合、管理者は合理的な手数料を請求するか、請求に応じないことができます。ただし、管理者はその理由を証明する責任を負います。

 

3. 今後に向けてのチェックポイント

以上のとおり、消去請求への対応には時間制限があり、いざ請求を受けたときに焦って対応していては適切な対応ができるはずがありません。企業の皆様としては、特に以下の点を確認し、改善することが推奨されます。

① 消去請求への対応手順の見直し

  • データ主体からの消去請求を受け付けてから、実際にデータを削除し、データ主体に連絡するまでの全ての手順を、最初から最後まで詳細に見直すことが重要です。
  • GDPR第17条で定められている「消去権が適用される要件」や「消去しなくてもよい例外」について、社内のガイドラインを明確にし、担当者が正しく判断できるようトレーニングを実施することが求められます。

② データ管理体制の強化

  • 消去請求に適切に対応するためには、データがどこに存在し、どのように管理されているかを正確に把握する「データマッピング」 、データの保存期間を定める「データ保持ポリシー」 、そしてデータへのアクセスを適切に管理する体制を強化することが重要です。
  • また、バックアップシステムに保存されているデータの扱いが重要です。すぐに削除できない場合でも、そのデータが確実に「使われない状態(beyond use)」にすることが必要です。

③ データ主体への情報提供と記録の徹底

  • データ主体とのやり取りでは、常に分かりやすく、正直な情報提供を心がけることが求められます。
  • 消去請求への対応プロセスや決定内容をすべて詳しく記録し、DPAから質問があった際に、迅速かつ正確に説明できる体制を整えておくことが重要です。

 

4. 最後に

2025年CEFが消去権に焦点を当てたことは、企業の皆様におかれても、GDPRコンプライアンス体制が整備できているかを再確認する重要な機会です。
この機会に、法的リスクを軽減するとともに、顧客からの信頼を維持できるよう、しっかりと現状確認と改善を行っておくことをおすすめします。

 

弁護士 山腰 健一