イングランド銀行は、英国が統計開始以降で最長のリセッション(景気後退)に直面しており、失業率は2025年までに現在の倍近くになると警告しました。データ保護権の意識の高まり、経済的圧力の継続、整理解雇の可能性の増加が重なり、個人からの個人情報の開示請求(Subject Access Requests、以下SAR)が増えると予想されます。
SARとは何か?
英国データ保護制度(英国一般データ保護規則(UK GDPR)と2018 年データ保護法(DPA 2018))の下、個人は組織が持つ、いかなる自身の個人データにもアクセスできる権利を有します。SARを行う場合、個人(つまりデータ主体)はどのような個人情報が保有されているかに加えて、どのようにその情報が使われ、どのくらいの期間組織によって保持され、誰に共有され、(組織が個人から直接情報を獲得していなかった場合は)組織がどこから情報を得たか、を確認することが出来ます。SARに対する正式な必要条件は無く、口頭でも書面でも行うことができ、特定の人物や窓口に請求する必要もありません。
SARを受けたら、何を開示しなければならないか?
SARを受けた後、組織は保持している個人データのコピーを提供しなければならず、加えて、請求に含まれる補足情報を提供し、処理目的、該当データの保管期間および誰に開示される可能性があるかについて説明しなければなりません。
SARの対応期限はいつか?
組織は過度に遅延せず、遅くとも請求を受けてから1ヵ月以内にSARに対応しなければなりません。しかしながら、請求内容が複雑な場合、もしくは組織が個人から多数の請求を受けた場合(例:個人データの消去請求と同時に、自身の目的のために個人データを取得し再利用する請求を行っている場合)、さらに2ヵ月、対応期間を延長することが出来ます。
組織がその個人に関する大量の個人情報を処理しており、SARに対応するために、請求されている情報の明確化が本当に必要な場合も、延期が正当化される可能性が高いです。
請求が複雑かどうかは、例えば組織の大きさやリソース等、具体的な状況によって異なります。請求が複雑であるという理由で対応期限を延長する場合、組織はなぜその請求が特定の状況下で複雑であるのか証明出来なければなりません。
SARは組織に対してどのように利用されるのか?
雇用主に対して訴訟を計画している、もしくは、既に開始している従業員が、法的戦略としてしばしばSARを利用します。SARを実施することで、雇用主が請求を処理するために時間とお金をかけることを余儀なくされる一方で、従業員は雇用審判所への訴訟に先立って証拠を獲得することができます。多くの場合、雇用主はSARの費用を従業員に要求することは出来ず、その請求が明らかに事実無根、過剰、もしくは自身のデータのコピーを更に請求するものであった場合のみ、その請求に対応するために掛かった費用として合理的な金額を要求することが出来るという点も重要です。このように、従業員は雇用主に対し、早期かつ好条件で和解するよう圧力をかけるための法的戦略としてSARを利用する可能性があります。
SARは他にどのように利用されるか?
同様に、組織からの補償を求める目的で、訴えを起こす最初の手段としてSARを利用する人もいます。例えば、人身傷害訴訟の第一歩として、監視カメラの映像を請求するかもしれません。企業と消費者の関係の観点では、不満を持った消費者が企業に迷惑をかけるために、集団で連携して企業にSARを殺到させることもあり得ます。
法令順守をしなかった場合の罰則は何か?
英国個人情報保護監督機関(ICO)のガイドラインに規定されている通り、SARは一般的に「目的不問(“purpose-blind”)」です。これは、組織は個人がいかなる理由でSARを実行したかに関わらず、対応しなければならないことを意味しています。しかしながら、その請求が明らかに事実無根あるいは過剰だと考えられる場合は、組織はSARへの対応を拒否することも出来ます。一方で、組織の拒否が不当であると感じた場合、SARの実行者はICOに苦情を入れることが出来ます。ICOは組織に対して様々な措置を講じることができ、警告、強制執行通知、もしくは罰則通知を発することが出来ます。個人は法令違反に対して補償を求めることも出来ます。
裁判所の介入を求めることも出来ます。さらに、SAR下での情報開示を阻止した場合は刑事法上の罪に問われることも念頭に置いてください。SARを遵守しないことで、個人の訴えを助長するリスクを考慮すると、組織はSARに迅速かつ適切に対応することが重要です。
3CSにできること
全スタッフがあらゆる手段およびフォームでSARを受ける可能性があるため、3CSは、スタッフへのトレーニングやSAR用の標準フォームの作成を通じて、これらの請求に備えるお手伝いをいたします。適切な期間内に必要な情報のみ提供したり、他者の個人情報の開示や権利の侵害を避けるために文書を改訂することにより、個人が権利を有しない情報の共有を避けるなど、請求に適切に対応できるよう支援することも可能です。詳しくは、いつもの3CSの担当者にお問い合わせください。
