セキュリティ・コンプライアンス

削除される権利

Right to be Forgotten

個人がインターネット上の自分の個人情報削除をリクエストできる権利。GDPRで保障される

削除される権利 Right to be Forgotten プライバシー権 データ削除 GDPRコンプライアンス
作成日: 2025年3月1日 更新日: 2026年4月2日

削除される権利(Right to be Forgotten)とは?

削除される権利は、個人が企業や組織に対して自分の個人データの削除をリクエストでき、企業は正当な理由がない限りそれに応じる義務を負う権利です。 GDPRで初めて法的に保障され、その後世界中の規制で採用されました。日本のAPPIでも、削除請求権として認められています。

ひとことで言うと: 昔のSNS投稿や検索履歴を「今は要らないから削除して」と企業に要求できる権利。

ポイントまとめ:

  • 何をするものか: 個人が企業に対して自分のデータ削除を請求し、企業が応じる法的義務
  • なぜ必要か: デジタル時代に、個人がデータに関する支配権を取り戻すため
  • 誰が行使するか: EUやGDPR対象地域のユーザー、および日本など他国のユーザー

なぜ重要か

デジタル時代では、個人の行動は次々とデータ化され、企業に保存されます。昔は個人が犯した過ちや恥ずかしい行動も、インターネットに永遠に残ります。一度ネット上に出た情報は削除できないというのが、デジタル時代の常識でした。

削除される権利は、この「デジタル永遠記録」の支配権を個人に取り戻す試みです。人間には成長し、過去から解放される権利がある、という考え方に基づいています。実際、若い頃の写真やブログ投稿が何十年も検索結果に出現し続けることで、就職面接や結婚相手探しで不利を被るケースが増えていました。

削除される権利により、個人は「もう要らない情報だから削除してほしい」とリクエストでき、企業はそれに応じなければならなくなりました。ただし、この権利は絶対的ではなく、「公益」「報道の自由」「法的保管義務」などの例外があります。

適用範囲

削除される権利は以下の条件で適用されます。

GDPRが適用される地域(EU、EEA)のユーザーは、この権利を無条件に行使できます。EU企業が顧客情報を保有していれば、削除請求に応じる義務があります。

また、日本のAPPIでも同等の「削除請求権」が認められています。日本のユーザーは、日本企業だけでなく、外国企業に対しても、法律に基づいて削除請求ができます。

ただし、すべてのデータ削除が認められるわけではありません。例えば、税務記録や法的に保管義務がある情報(会計書類など)は、削除できません。また、報道目的で公開されている情報(ニュース記事など)の場合、「報道の自由」との衝突が生じるため、必ずしも削除が強制されません。

主な要件

削除請求を行うプロセスと、企業が遵守すべき要件は以下の通りです。

ユーザーが削除請求をする際、企業は「簡単に請求できる仕組み」を提供する義務があります。例えば、アカウント設定画面に「データ削除申請」ボタンを配置し、クリック1〜2回で申請完了できるようにすべきです。複雑な申請フォームを要求したり、カスタマーサービスに電話させたりすることは、権利行使を実質的に妨害していると判断される可能性があります。

企業が削除請求を受け取ったら、30日以内に対応する必要があります。データベースから該当者の情報を削除し、ユーザーに削除完了を通知します。複数のシステムにデータが分散している場合、すべてのシステムから削除することが必須です。片方のシステムに残ったままでは、要件を満たしません。

企業は削除請求を拒否する場合、拒否理由を明確に説明する義務があります。例えば「法的保管義務があるため」「報道目的の記事であるため」など、正当な理由が必要です。単に「手間がかかる」「時間がない」という理由では拒否できません。

違反した場合

削除請求に応じない企業は、GDPRの場合、売上高の2%またはユーロ建てで1000万ユーロのいずれか大きい方の罰金を科される可能性があります。

日本のAPPIの場合、個人情報保護委員会からの指導や改善勧告が出され、応じない場合は罰金(最大100万円)または懲役が科される可能性があります。

さらに、企業の評判損失が極めて大きいです。「削除請求に応じない企業」というレッテルが張られ、メディア報道によって社会的信用を失うケースが増えています。

関連用語

  • GDPR — 削除される権利を世界で初めて法制化した規制
  • APPI — 日本での同等の権利を定める法律
  • データ最小化 — 削除される権利と対を成す考え方
  • プライバシーポリシー — 削除請求の方法を記載する必須文書
  • [Encryption — 削除請求時に、データが確実に削除されたことを証明するための技術

よくある質問

Q: SNS企業が削除請求を受けた場合、すべての写真やコメントを消す必要があるか?

A: 基本的にはいいえ。他のユーザーがあなたの投稿に対してコメントしたり、シェアしたりしている場合、それらのユーザーの権利にも配慮する必要があります。ただし、あなたが元投稿を削除すれば、多くのプラットフォームはそれに紐付くコメントも自動削除します。複雑なケースについては、削除請求を受けた企業が法務判断を行う必要があります。

Q: 削除請求後、検索エンジンから情報が消えるか?

A: 直接的な法的義務は、データを保有している企業(例えばFacebook)です。検索エンジン企業(Google)に対する削除請求は、「公的関心」や「報道価値」など複数の要素を考慮して判断されます。実際、Googleは削除請求の約40%は拒否しており、「この人は有名人である」「この情報は公益性がある」と判断された場合は削除されません。

Q: 企業が削除請求に応じるのに3ヶ月かかった場合は違反か?

A: はい。GDPRでは、削除請求後「遅滞なく」、目安として30日以内の対応が求められています。3ヶ月の遅延は違反と判定される可能性が高いです。ただし、複雑で広範囲な削除作業が必要で、やむを得ない遅延があれば、その理由を説明できれば部分的に許容される場合もあります。

関連用語

用語集に戻る
×
お問い合わせ Contact