GDPRでは、事業者が個人データを処理する際、少なくとも6つの法的根拠(第6条)のいずれかに基づく必要があります。そのうち「正当な利益」(第6条(1)(f))については、欧州データ保護会議(EDPB)が発行した「Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR」で詳しく論じられ、現在パブリックコメントが募集されています。
このガイドラインによれば、「正当な利益」に依拠するためには、(1) コントローラまたは第三者による具体的で合法的かつ現在性のある利益の追求、(2) その利益を実現するためにデータ処理が厳密に必要であること、(3) データ主体の利益や基本的権利・自由を上回らないこと、の3つがすべて満たされる必要があります。また、処理に着手する前に、これら3つのステップを適切に評価・文書化することが求められます。たとえば、顧客との関係構築やダイレクトマーケティング、不正防止やネットワークセキュリティなど、実務上よくある場面で「正当な利益」が活用される場合でも、必ずこの3段階の検討が必要となります。
さらに、ガイドラインでは「データ最小化の原則」(不要なデータは収集・利用しない)や、データ主体の「合理的な期待」を踏まえることが強調されています。利用者が予想し得ないような目的でのデータ使用は、事業者にとっての利益が明確であっても、バランステストで否定される可能性が高いとされています。また、データ主体には、いつでも処理に異議を唱えられる権利(第21条)があるため、事業者はこれを踏まえた運用や手続の整備が不可欠です。
以上のように、EDPBのガイドラインは「正当な利益」の適用可否に関する具体的判断プロセスや考慮要素を提示しているため、正式採用後は各種ビジネスオペレーションの見直しやリスク評価において、重要な実務指針となるでしょう。企業はこれを参照しつつ、データ主体の権利と自社の利益とのバランスを適切に図ることが求められます。