EUのGDPR(一般データ保護規則)は、データ保護に関連した様々な権利を保障している。そして、こうした権利の侵害があった場合には、高い制裁金が科されることでも知られる。そうすると、一見、GDPRは、厳格なペナルティをもって権利侵害行為ないし違反行為を直接統制する法令であるように感じられる。ところが、実際上、権利の具体的な内実や範囲はいまだ確定的ではなく、また権利侵害行為ないし違反行為があっても、これを外部から発見することは非常に困難であるという問題を抱えている。GDPRは、かかる法的不確定性と執行困難性の問題を前提に、事業者自らが行動規範等の策定を通じて不確定性の隙間を埋めたり、データ保護影響評価(DPIA)やアルゴリズム監査といった内部統制システムを整備したりして、想定される違反行為等を未然に防ぐガバナンス体制を構築することを、かかる体制構築の努力と制裁金の免除・軽減とを結び付けることで(明示的なインセンティブ設計)実効的に促しているように思われる。
本稿は、プロファイリングに関連するGDPRの諸権利、とりわけ、重要事項についてプロファイリング等の結果のみに依拠して決定されない権利(22条)、「説明を受ける権利」(15条)をめぐる解釈論に照準して、上述のようなGDPRの傾向、すなわち、行為ベースの規律(行為統制型規律)からガナバンス・ベースの規律(構造統制型規律)への焦点変動について若干の分析を加えるものである。本稿は、先行して同様の焦点変動が起きた(雇用に関する)反差別法の実践などにも視点を向け、法的不確定性と執行困難性を抱える法領域では「構造統制型規律」が一定程度有効であること、したがって、これらの問題が前景化するであろうAIネットワーク社会において、かかる規律モデルが中心的な法的アプローチとなる可能性についても言及を加える。
