Loading…
データ主体アクセス請求(DSAR)とは、自分に関してどのような個人データを保有しているかを確認するために本人が行う請求です。主要なすべてのプライバシー法制(GDPR、UK GDPR、CCPA/CPRA、DPDPA、LGPD、PDPA、APPI)は、データ主体にこの権利を何らかの形で付与しています。法定期限が最も短いのはカリフォルニア州の45日です。延長を含め最も長いのはGDPRの3か月です。
最も短い適用期限を満たす単一のパイプラインを構築してください。5つの段階があります。受付 → 本人確認 → データ収集 → レビューおよび編集(マスキング) → 提供および記録。すべてのステップを追跡してください。監査証跡は副次的な産物ではなく、第一級の成果物として扱ってください。
フレームワークごとにワークフローを構築したくなるものです。GDPR用に1つ、CCPA用に1つ、というように。しかし、そうしないでください。フレームワークを認識するメタデータを備えた単一のパイプラインには、次の利点があります。
上の図は全体の流れを示しています。続く5つのセクションで、各段階を運用面の詳細とともに解説します。
複数の受付チャネルを用意してください。セルフサービスのウェブフォーム、専用のメールアドレス(通常はprivacy@またはdpo@)、郵送先住所、そして(一部の管轄では)電話番号です。GDPRは技術中立的ですが、監督機関は各チャネル間で同等の対応を求めます。
各受付イベントでは、少なくとも次の項目を記録してください。
ケースIDを割り当てます。10営業日以内(CCPAの期限)に受領確認を行ってください。一貫性のため、すべての請求に適用します。
GDPR第12条(6)は「データ主体の本人性を確認するために必要な」追加情報の要求を認めていますが、比例性を超えて要求してはなりません。CCPA §1798.130(a)(2)は本人確認のための「合理的な措置」を求めており、その基準は機微性に応じて変化します。
実務的な3段階モデルは次のとおりです。
本人確認中に期限のカウントを止めるのは、合理的な範囲に限ってください。CCPAは本人確認中に応答期間を停止すること(15日間の延長)を明示的に認めています。GDPRは認めていないため、GDPRの下で本人確認を過剰に作り込むこと自体がリスクとなります。
運用上、最も難しいステップです。個人データを保存または経由するすべてのシステムを対応付けたシステムインベントリを構築してください。次のものを含みます。
各システムについて、標準的な識別子(user_id、email、phone)を起点とする抽出手順を文書化してください。GDPR第30条の処理活動の記録(ROPA)を土台として利用してください。そこにある各エントリは、DSARの抽出ルーチンに対応付けられるべきです。
データを収集したら、次の観点でレビューします。
可能であれば、データ収集者とは別の担当者をマスキングのレビュー担当に置いてください。職務分離はエラーを減らします。
データ主体が使用したのと同じ安全なチャネル、または本人が選択する別のチャネルで提供してください。パッケージは暗号化します。内容、データのカテゴリー、処理の目的、取得者、保持期間、データの出所、権利、そして監督機関に苦情を申し立てる権利を説明する送付状を添えてください。
記録するもの。請求、本人確認の各ステップ、照会したシステム、適用したマスキング(理由を含む)、提供チャネル、各タイムスタンプ。この記録は、いかなる監査や苦情においても貴社の防御材料となります。
| 法制 | 受領確認 | 実体的な応答 | 延長 |
|---|---|---|---|
| GDPR / UK GDPR | 特定の期限なし — 「不当な遅滞なく」 | 1か月 | 複雑な請求または複数の請求について+2か月 |
| CCPA / CPRA | 10営業日 | 暦日で45日 | 合理的に必要な場合は+45日 |
| DPDPA(インド) | 特定の期限なし | 規則に定めるとおり。既定では合理的な期間 | 規定なし |
| LGPD(ブラジル) | 特定の期限なし | アクセスは15日、存在の確認は30日 | 理由を付した正当化により可能 |
| APPI(日本) | 特定の期限なし | 「遅滞なく」 — 通常は2週間 | 合理的な延長が認められる |
| PDPA(シンガポール) | 特定の期限なし | 合理的に可能な限り速やかに、30日以内 | それより長くなる場合は新たな見込み日を通知 |
適用される最も短い期限を既定としてください。GDPRとCCPAの双方を対象とする場合は、エンドツーエンドで45日を見込んでください。GDPRのみの場合は1か月を基準として計画してください。
次の場合には、請求の全部または一部を拒否できます。
拒否の根拠を文書化してください。データ主体には、その理由を知る権利と、監督機関に苦情を申し立てる権利があります。
現実的かつ増大しているリスクです。脅威アクターはDSARを利用して、(a)競合のデータを引き出す、(b)小規模なプライバシーチームを疲弊させる、(c)セキュリティの脆弱性を探る、といった行為を行います。GDPR第12条(5)の「明らかに根拠を欠くまたは過剰」という基準は意図的に狭く設定されています。合理的な手数料を請求するか拒否することはできますが、その理由の文書化は徹底する必要があります。
運用上のガードレール。匿名のウェブフォーム受付にレート制限をかける、機微なデータを開示する前にティア3の本人確認を求める、単一のIP/メールからの自動送信の量に上限を設ける、パターン(たとえば競合のメールドメインからの連続的なDSAR)を検知して上級者によるレビューに回す、といった措置です。
GDPRの下では原則としてできません。第12条(5)により、請求が明らかに根拠を欠くまたは過剰でない限り、応答は無料です。CCPAも同様に、12か月間における最初の2件の請求についての手数料を禁止しています。シンガポールのPDPAは合理的な手数料を認めています。
バックアップが合理的に取得可能であれば技術的には及びます。ただし監督機関は、保持ポリシーが文書化されており、バックアップがローテーションする際にそのデータを削除することを確約していれば、バックアップをライブで検索する必要はないと認めています。このアプローチを文書化してください。
権利は同じですが、件数が多く、より機微であることがよくあります(人事評価、上司のメモ、監視ログなど)。ドイツのBDSG §26は従業員データに特有の機微性を課しています。人事に特化した抽出ルーチンを用意し、苦情を背景とするDSARについては労働法の弁護士に相談してください。
はい。さらにGDPR第22条は、自動化された意思決定に関与するロジック、その重要性、想定される結果についての意味のある情報を得る権利を加えています。EU AI Actは、第26条(11)の下でハイリスクAIについてこれを強化しています。
RegulatoryBridgeは、すぐに使えるDSARパイプラインを提供します。受付フォーム、確認フロー、システム抽出ライブラリ、マスキングのレビュー機能、提供時の暗号化、監査ログを備え、対象となるすべてのプライバシー法制をカバーします。