英ICO、アクセス権に関する実施細則を改訂


“【ICO】イギリスICOは、6月9日、アクセス権に関する最新の控訴院(Court of Appeal)裁判2件を受け、1998年プライバシー法に規定するアクセス権行使(subject access request, SAR)に関する実施細則(code of practice)を改定し、管理者がデータ主体からのSARを拒否できる要件を一部緩和した。

従来のICO実施細則では、管理者が「均衡を欠く労力」(disproportionate effort)を理由としてSARを拒否できる場合は、最も例外的な場合(the most exceptional of cases)に限定されていたが、この表現が削除され、均衡を欠く労力を例外理由としてSARを拒否できる場合について、次のような説明が加えられた。

要求された情報を探し出すことの困難性を含め、SAR対応過程全体における困難な事情を考慮して、均衡を欠く労力を要するかどうかを決める。
管理者は、SARが行われた個別の状況ごとに、SARに対応することの困難さと、対応することによってデータ主体が受ける利益を比較衡量すべきである。
均衡を欠く労力を要することの証明責任は管理者にある。
SARへの対応にあたっては、データ主体との対話を通じて、データ主体が真に必要とする情報を絞り込み、SAR対応について不要なコストと労力を避けることはグッド・プラクティスである。

ICOは、SARに関する苦情を受けた場合には、データ主体の取組姿勢も評価し、その努力とデータ主体の利益を比較衡量する。

改定された実施細則(Subject access code of practice)
https://ico.org.uk/media/for-organisations/documents/2014223/subject-access-code-of-practice.pdf

改訂のきっかけとなった控訴院裁判は次の通り
Dawson-Damer and others v Taylor Wessing LLP [2017] EWCA Civ 74
Ittihadieh v 5-11 Cheyne Gardens RTM Company Ltd and Others [2017] EWCA Civ 121.”

関連記事