Legitimate Interests Assessment (LIA): 正当な利益の妥当性を評価するには?

はじめに

EU GDPRやUK GDPRでは、個人情報を取り扱う際の法的根拠として、一般企業が適法性の根拠とするのは、データ主体の同意、 データ主体が契約当事者となっている契約履行等のため、法的義務の遵守、データ主体又は他の自然人の生命に関する利益公共の利益、管理者、又は、第三者によって求められる正当な利益など6つの法的根拠があります。(ここでいう管理者はGDPR上の「管理者」を指す。)

正当な利益」には、会社、第三者、商業的理由、またはより広範な社会的理由によるものを問わず、幅広い利益が含まれており、GDPRで上げられている法的根拠の中でも最も柔軟な法的根拠とされており、以下のようなケースが正当な利益の例として挙げられます。

  • 安全管理目的での従業員のモニタリング
  • (Cookieを利用しない)ダイレクトマーケティング及び広告
  • 不正行為、サービスの不正使用またはマネーロンダリングの防止
  • グループ内異動やグループ内部の管理目的での移転 ※EU域外への移転はSCCなど移転メカニズムが別途必要
  • 物理的ITセキュリティ、ネットワークセキュリティのための個人データの処理
  • 債権回収などの法的権利の行使

ただし、管理者の正当な利益よりも、個人(データ主体)の利益または基本的権利もしくは自由を優先させるべき場合(特にデータ主体が子供の場合)は正当な利益を法的根拠とすることはできません。

個人の利益または、基本的権利や自由を優先すべき場合とは、どういった場合でしょうか?GDPR(前文47)やイギリスの個人情報保護委員会にあたるICOでは、「正当な利益」を法的根拠とするうえで、その妥当性を合理的に判断するための評価の実施を推奨しています

正当な利益の妥当性を判断するためのLIA

GDPRやICOでは、正当な利益が適切な法的根拠であることを確認するための評価を推奨しています。それがLIA(Legitimate Interests Assessmentの略)です。

今回のブログでは、ICOで公開されているLIAのテンプレートをもとに紹介します。

このテンプレートでは、以下の3つの構成に分かれて正当な利益を判断することになります。

Purpose test 目的のテスト

ここでは、目的を特定し、それが「正当な利益」として妥当かどうかを確認します。

  • なぜ、データを処理したいのですか?(処理の目的は?)
  • その処理によってどのような利益を得ることを期待しますか?(不正防止、顧客満足など)
  • その処理によって利益を得る第三者はいますか?
  • その処理によって、より広範な公共の利益はありますか?
  • あなたが特定した利益はどの程度重要ですか?(非常に重要)
  • その処理を実行できなかった場合、どのような影響がありますか?
  • 処理に適用される特定のデータ保護規則(例:プロファイリング要件、電子プライバシー法)を遵守していますか?
  • その他の関連法を遵守していますか?
  • 業界のガイドラインまたは実践規範を遵守していますか?
  • 処理に倫理的な問題がありますか?

Necessity test 必要性のテスト

ここでは、処理が実際に必要かどうかを慎重に検討、確認します。

  • その処理は、あなたの目的の達成に実際に役立ちますか?
  • その処理はその目的に対して比例性(目的に対して必要最小限)が認められますか?
  • その処理なしで同じ目的を達成することは可能ですか?
  • より少ないデータ処理で、あるいはより明白で、より侵入的でない別の方法でデータを処理することで、同じ目的を達成することは可能ですか?

Balancing test 比較衡量のテスト

ここでは、個人(データ主体)の利益と基本的な権利または自由、そしてそれらが管理者等の正当な利益に優先するかどうかを確認します。

個人データの性質

処理する個人データの機密性について確認します。

  • 特別カテゴリーのデータや犯罪データは取り扱いますか?
  • 人々が特に「プライベート」と考える可能性の高いデータは取り扱いますか?
  • 子供のデータ、またはその他の弱者に関するデータを処理していますか?
  • そのデータは個人的または職業的な立場の人に関するものですか?

合理的に想定されるか?

特定の状況下でデータを使用することを人々が合理的に想定できたかどうかを確認します。

  • その個人とすでに既存の関係性がありますか?
  • その関係性はどのようなもので、過去にどのようにデータを利用しましたか?
  • 本人から直接データを集めましたか?その際、本人に何を伝えましたか?
  • 第三者からデータを入手した場合、第三者による他の目的での再利用について、その第三者は個人にどのように伝えましたか?
  • データを収集したのは何年前ですか?その後、想定に影響を与えるような技術や状況の変化はありますか?
  • あなたの意図する目的と方法は広く理解されていますか?
  • 何か新しいことや革新的なことを意図していますか?
  • 想定に関するエビデンスはありますか?(例: 市場調査、フォーカス・グループ、その他のコンサルテーションなどからのエビデンス等)
  • 特定の状況において、その処理を想定する、あるいは想定しないことを意味する他の要因はあるか?

予想される影響

個人(データ主体)への潜在的な影響と、処理によって引き起こされる可能性のある損害を確認します。

  • その処理が人々に与えうる影響は何ですか?
  • 個人データの利用について、個人が何らかのコントロールを失うことはありえますか?
  • 起こりうる影響の可能性と重大性は?
  • その処理に反対したり、押しつけがましいと感じたりする人はいますか?
  • 個人に対し、その処理について説明できますか?
  • 影響を最小化するための保護措置を適用することはできますか?

さいごに: LIAの実施をサポートする「OneTrust」のソリューション

組織が「正当な利益」を法的根拠とする場合、これまで紹介したLIAにおいて確認すべき質問について、回答し、結果を評価した上で判断することが必要です。

先ほど紹介したICOが公開しているLIAのテンプレートなどをベースに作成した質問票を回答者に送付し、回答のレビュー、リスクを特定し、最終的に正当な利益を法的根拠とするかどうかを判断する一連のプロセスをExcelなどでやり取りし、マニュアルで運用することも可能です。

しかし、マニュアルでの運用の場合、進捗管理や評価結果の報告や内在リスクに関して、データ処理活動ごとに管理するとなると、オペレーションが煩雑になったり、情報が一元的に管理されず、特定されたリスクの対応状況や記録管理が適切に実施できなくなる懸念があります。

OneTrustのプライバシー評価自動化モジュールを使用することでこうした懸念を払しょくすることが可能です。

OneTrustにはLIAに特化したテンプレートが用意されており、評価プロセス全体にそれらのテンプレートとツールの機能を利用することでオペレーションを効率化することが可能です。OneTrustの「プライバシー評価自動化」モジュールを使用し、LIAのテンプレートを使用し作成した質問票に回答することで、回答内容に応じてリスクが特定され、リスクに付随する想定される対応計画を確認することが可能です。これにより、担当者は、特定されたリスクの内容とその影響度に応じて、組織としての対応可否や軽減するために何をすべきかについて理解できるようになります。

OneTrustのLIAテンプレート

OneTrustでは、先ほど紹介したICOのLIAテンプレートに沿ったものやGDPRのLIAテンプレートなどが用意されています。

UK ICO Legitimate Interests Assessment – 3.0

France CNIL Legitimate Interests Assessment – 1.1

GDPR Legitimate Interests Assessment – 2.0.0

この記事をシェアする