個人情報保護法における「正当な利益」に基づく個人情報のデータ処理に係るガイドラインの施行（フィリピン）

2. 適法化根拠

　個人情報のデータ処理（取得、記録、保管、変更、使用又は消去等を含むがこれらに限られない。個人情報保護法3条(j)）にあたっては、適法化根拠が必要である※1（個人情報保護法12条）。フィリピン個人情報保護法における適法化根拠は、欧州一般データ保護規則（以下「GDPR」という。）に規定される適法化根拠の内容とも類似する。本ガイドラインは、適法化根拠の一つである個人情報保護法12条(f)に規定する「正当な利益」の解釈指針を示すものである。

3. 「正当な利益」に依拠できる場面

　「正当な利益」は、個人情報（personal information）のデータ処理の根拠とすることができるが、センシティブ個人情報（sensitive personal information）※2（個人情報保護法3条(l)）のデータ処理の根拠として使用することはできない。また、誰の「正当な利益」が必要かについては、データ管理者又はデータが開示される第三者の｢正当な利益｣が必要とされている。ここでいう第三者とは、個人情報が開示される自然人又は法人のうち、データ管理者、データ処理者又はデータ主体ではない者を指す。

4. 「正当な利益」に基づくデータ処理の要件

　「正当な利益」に基づき個人情報を処理しようとするデータ管理者は、その妥当性について、自らその評価を行わなければならない。その際には、目的テスト、必要性テスト及びバランステストの３つの観点からの評価を行う。この点においてもGDPRの判断枠組みと類似している。

　目的テストにおいては、正当な利益が明確に確立されていることを確認する（本ガイドライン5条）。具体的には、正当な利益は、明確に定義された具体的なものでなければならず、漠然としたものであってはならない※3。また、その目的は、法律、道徳又は公序良俗に反してはならない。

　必要性テストにおいては、正当な利益を実現するための手段が必要かつ適法であることを確認する（本ガイドライン6条）。正当な利益を実現するための手段は、比例原則に従い、特定された目的との関連において、十分、適切かつ必要であり、また、過度であってはならない。

　バランステストにおいては、データ管理者又は第三者が追求する正当な利益とデータ主体の基本的権利及び自由を比較考量する（本ガイドライン７条）。その際には、データ管理者は、(i)データ処理活動により生じるデータ主体に及ぼす影響及び効果、(ii)特定のデータ処理活動に関する個人情報を保護するために、又は特定のデータ処理活動がデータ主体に及ぼす影響及び効果を軽減するために実施される措置、(iii)目的を達成するための他の手段の利用可能性及び(iv)データ主体の個人情報のデータ処理に対する合理的な期待等を考慮する。

5. 記録義務

　データ管理者は、「正当な利益」に基づく個人情報のデータ処理に必要な3つの要件をどのように満たすのかを文書化し、記録することが求められる（本ガイドライン8条）。但し、その記録に関して所定の書式はなく、電子メールでのやりとりであっても、当該電子メールが上記３要件を証明している場合には証跡として利用できる。また、データ管理者は、継続的に「正当な利益」に基づく個人情報のデータ処理を行っている場合には、その遵守状況を定期的に評価しなければならないとされている。なお、個人情報保護法を管轄する国家プライバシー委員会（National Privacy Commission）は、調査の際に、「正当な利益」に関する評価記録の提出をデータ管理者に求めることができる。

6. おわりに

　本ガイドラインは、2023年12月13日に制定され、2024年1月14日に施行された。本ガイドラインはあくまでも通達という位置付けであるものの、本ガイドラインに違反した場合には、個人情報保護法やその施行規則の規定に従い、罰則の対象になり得る点に留意が必要である（本ガイドライン14条）。もっとも、記録義務に関しては90日間の猶予期間が設けられている。したがって、「正当な利益」を根拠にデータ処理を行う場合には、2024年4月1４日からその評価過程を記録する必要がある※4。フィリピン個人情報保護法は歴史が浅く、「正当な利益」の具体的な判断が十分に集積されているとは言えない。本ガイドラインが施行されたことにより、明確化した部分もあるが、今後どのような実務の運用がなされていくのかを引き続き注視する必要がある。