今回は、GDPR上の処理の適法性の根拠の一つである「正当利益」に関し解説します。
今回は以上です。
次回は、処理の適法性の根拠の一つである「契約に関連した必要性」(GDPR6(19(b))について解説します。
|
【目 次】 (各箇所をクリックすると該当箇所にジャンプします) Q4: 正当利益と比較衡量されるべきデータ主体の利益等とは? |
Q1: 「正当利益」とは?
A1: 「正当利益」(legitimate interests)とは、データ主体の同意等とともに、一般企業が、通常の業務で、個人データの処理の適法性根拠とすることができるものの一つです(本Q&A第21回Q3参照)。【解 説】
確認のため、GDPR本文および前文の内容を以下に示します([ ]内は筆者による補足等。以下同じ)。 【GDPR第6条第1項】[個人データの]処理は、次の内少なくとも一つに該当する場合にその限りで適法とされる: (f) 管理者または第三者が得ようとする正当利益(the legitimate interests pursued by the controller or by a third party)のため処理が必要な場合。 但し、その正当利益よりも、個人データの保護に関するデータ主体の利益または基本的権利・自由をより優先(override)すべき場合(特にデータ主体が子供である場合)を除く。 【前文(47~49)】「正当利益」を個人データの処理の適法性の根拠とすることができるか否かの判断に当たっては、個人データ取得の際、データ主体が、その管理者との関係(例:データ主体が管理者の提供するサービスの顧客である関係)に基づいて当該処理を合理的に想定(reasonably expect)できたか否かを考慮しなければならない。[逆にその個人データの処理内容が、データ主体が合理的に予想できないようなものであってはならない。]【「正当利益」を処理の適法性の根拠とすることができる可能性がある場合の例】
・不正行為防止(preventing fraud)のため個人データを処理する場合 ・ダイレクトマーケティングのため個人データを処理する場合[但しCookieを利用する場合はePrivacy指令(5(3))上同意が必要。正当利益を根拠にすることはできない] ・管理者が顧客または従業員の個人データを、その属する企業グループ(a group of undertakings)内で、グループ内部での[人事]管理目的で(for internal administrative purposes)移転する場合。但し、EU域外への移転の場合は域外移転に関する要件の具備も必要。[このように、個人データのEU域外については、SCCの締結等の他、前提として、その移転という「処理」の適法性の根拠が必要である。] ・ネットワーク・情報セキュリティーのため個人データを処理する場合Q2: 「正当利益」に関するガイドラインは?
A1: GDPR上の「正当利益」に関するガイドラインはまだありません。その作成も当面計画されていないようです。しかし、「正当利益」に関するGDPRの規定(6(1)(f))の内容は保護指令第7条(f)と同様であり、この保護指令7条(f)の判断基準についてWP29[1](現在のEDPB[2]の前身である監督機関の連合体)が2014年4月9日採択した意見書(正式名称は脚注参照[3])(以下「意見書」という)があり、当面、この意見書が参考になると思われます。Q3以下ではこの意見書の内容を説明します。Q3:「第三者」が得ようとする利益とは?
A3:管理者以外の広く社会が得ることができる利益を意味します(意見書p24)。 (例)企業(管理者)がその経営者(データ主体)の報酬を開示(個人データの処理)することにより株主や一般公衆等が得る利益(意意見書p27)。Q4: 正当利益と比較衡量されるべきデータ主体の利益等とは?
A4: 意見書によれば、データ主体のプライバシーが問題となる場合が多いものの、EU法[例:EU基本権憲章] またはEU加盟国法上保障される基本的権利(人権)または自由のみならず、広くデータ主体の利益一般を意味するとされています(p29~)。Q5: 管理者等の正当利益とデータ主体の利益等との比較衡量の具体的方法は?
A5:意見書で以下のように述べられています。【比較衡量の方法】
管理者等の正当利益と、データ主体の利益等を後記【比較考量の要素】を考慮して比較衡量する(p30~)。 これら要素の内、データ主体が蒙る可能性がある利益侵害を防止または軽減する措置(safeguard)(以下「利益保護措置」という)の有無・内容が特に重要となる。 但し、利益保護措置が講じられても、管理者等の正当利益に対し、なお、データ主体の利益等の侵害の程度が大きい場合は、正当利益を処理の適法性の根拠とすることはできない。 なお、比較衡量以前の問題として、管理者の他の義務(目的の制限、目的に照らし適切かつ必要な範囲の処理、十分な情報提供等)が遵守されなければならない。【比較衡量の要素】
(a)管理者または第三者の利益の重要性、処理できない場合の不利益の程度(p33~) (b)データ主体の利益等の重要性、処理により蒙る不利益の程度 (c)処理の内容 - データの範囲・内容: 処理目的に照らし必要最小限(proportionality)か、処理するデータの量、氏名およびクレジットカード番号のみの処理にとどまるか、閲覧履歴、位置情報、センシティブなデータ等も利用するか - 管理者が運営する他のサービスで取得したデータ等、他のデータとの組合せ・照合等の有無 (d)データ主体の合理的な期待・想定: 処理目的、処理内容等がこれに反していないか (e)データ主体の属性:子供、従業員等、弱者でないか (f)他に取り得る侵害度のより低い処理方法(other less invasive means)の有無(補完性:subsidiarity) (g)データ主体の利益等の保護措置: データ主体に対する十分な情報提供、処理拒絶・停止請求の機会の付与・容易さ (h)セキュリティー措置: 仮名化、匿名化、暗号化等Q6: 結局「正当利益」の要件をまとめると?
A6: GDPR本文・前文および本意見書の記載から、ある個人データの処理が「正当利益」を根拠として適法とされるための要件は以下のように整理できると思われます。| (a)個人データ取得の際、データ主体が、その管理者との関係(例:データ主体が管理者の顧客)に基づいて当該処理を合理的に想定(reasonably expect)できたこと。 (b)処理目的が正当であること。 (c)処理がその目的に照らし必要であること(necessity:必要性)。 (d)処理の内容および範囲が処理目的に照らし必要最小限であること(minimization, proportionality:比例性) (e)その処理を行わず、処理目的を達成するために、他にデータ主体のプライバシー等を損なう程度がより低い手段がないこと(subsidiarity:補完性)。 (f)データ主体に対し処理について事前に十分情報提供していること(transparency:透明性)。 (g)処理によりデータ主体が蒙る可能性がある利益侵害を防止または軽減する措置が講じられても、管理者等の正当利益に対し、なお、データ主体のプライバシーその他利益の侵害の程度が大きい場合ではないこと(比較衡量:balancing test)。 |
「GDPR関連資格をとろう!Q&Aで学ぶGDPRとCookie規制」バックナンバー
【著者の最近の個人情報保護関連書籍】
NEW!! 「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」 2020年12月
「Q&Aで学ぶCCPA カリフォルニア州消費者プライバシー法」 2020年7月
「GDPR関連資格CIPP/E準拠 詳説GDPR (上) - GDPRとCookie規制」 2019年11月
「GDPR関連資格CIPP/E準拠 詳説GDPR (下) - GDPRとCookie規制」 2019年11月
[4] 【注】 [1] 【「WP29」】A Working Party on the Protection of Individuals with regard to the Processing of Personal Data - データ保護指令第29条に基づき、各EU加盟国の個人データ保護機関(DPA)、欧州データ保護監督官(European Data Protection Supervisor)(EDPS)および欧州委員会の各代表者で構成されていた独立機関である。EDPB発足までGDPRについても意見書を作成・公表していた。 [2] 【「EDPB」】European Data Protection Board (欧州データ保護会議)。GDPR第68条に基づくWP29の後継組織である。加盟国間におけるGDPRの一貫性のある適用・運用を任務としする(70) 。その任務にはGDPRに関する意見書・ガイドラインの作成も含まれる。EDPBの意見書等の掲載サイト [3] 【正当利益意見書】Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, Adopted on 9 April 2014 [4]==========
【免責条項】
本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては、自己責任の下、必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。 (*) このシリーズでは、読者の皆さんの疑問・質問なども反映しながら解説して行こうと考えています。もし、そのような疑問・質問がありましたら、以下のメールアドレスまでお寄せ下さい。全て反映することを保証することはできませんが、筆者の知識と能力の範囲内で可能な限り反映しようと思います。review「AT」theunilaw.com (「AT」の部分をアットマークに置き換えてください。)
|
【筆者プロフィール】 浅井 敏雄 (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表/一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を日本・米系・仏系の三社で歴任。1998年弁理士試験合格 (現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事、国際取引法学会会員、IAPP (International Association of Privacy Professionals) 会員、CIPP/E (Certified Information Privacy Professional/Europe)【発表論文・書籍一覧】 |