改正個人情報保護法でオプトアウトの手続はどう変わったか

IT・情報セキュリティ 公開 更新

 改正個人情報保護法においてはオプトアウトの方法による個人データの第三者提供の手続が厳格化するとのことですが、その具体的な内容について教えてください。

 オプトアウトについて、「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」方法が明確化されると共に、オプトアウトに関する事項を個人情報保護委員会にあらかじめ届けなければならないことになります。また、要配慮個人情報を含む個人データについてはオプトアウトの方法による第三者提供は認められません。

解説

目次

  1. オプトアウト手続
  2. 改正の背景
  3. 改正内容
    1. 厳格化の内容
    2. あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置の限定
    3. 要配慮個人情報の除外
    4. 通知等事項(届出事項)
    5. 個人情報保護委員会への届出・公表
    6. 経過措置
  4. 個人情報取扱事業者によるオプトアウト手続が不十分な場合
  5. オプトアウト手続から個人データの共同利用への変更について

※本QAの凡例は以下の通りです。

  • 改正個人情報保護法、個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
  • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)
  • 個人情報保護法ガイドライン(通則編)・GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
  • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)

オプトアウト手続

 個人情報取扱事業者が個人データの第三者提供をするためには、あらかじめ本人の同意を得るのが原則です(個人情報保護法23条1項本文)。

 本人から「事前の同意」を得ることを「オプトイン」(opt-in)とも言います。

オプトイン

 これに対して、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしないかぎり、同意したものとみなし、第三者提供をすることを認めることを、「オプトアウト」(opt-out)といいます。

オプトアウト

 改正前の個人情報保護法においては、個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる①~④の事項について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができることとされていました(改正前個人情報保護法23条2項)。

  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の手段または方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

改正の背景

 本改正の背景は、平成26年6月に発覚した、株式会社ベネッセコーポレーション(以下「ベネッセ」といいます)の会員情報の流出です。
 平成26年6月27日、ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の個人情報を名簿業者3社へ売却したことが発覚しました(参照:ベネッセお客様本部「事故の概要」)。
 この際に、名簿業者が、名簿(個人データ)を本人が認知し得ないオプトアウトの方法を用いて、他の名簿業者に拡散していたことが発覚しました。
 これが今回のオプトアウト手続の厳格化の改正の契機となりました。

改正内容

厳格化の内容

 オプトアウトの方法による個人データの第三者提供の下記の各点において厳格化します(個人情報保護法23条2項~4項)

  • 「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置」を限定。
  • 要配慮個人情報についてはオプトアウトの方法が利用できないことになる。
  • 「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」事項(通知等事項)として「本人の求めを受け付ける方法」が追加される。
  • 通知等事項について個人情報保護委員会にあらかじめ届け出なければならない。
  • 個人情報保護委員会は、オプトアウトの届出があったときは当該届出に係る事項を公表しなければならない。

 これを条文の記載にあてはめ、改正法により厳格化される部分に下線を引いたものが以下になります。

  1. 個人情報取扱事業者は、本人同意を得ない個人データ(要配慮個人情報を除く。)の第三者提供をしようとする場合には、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。(個人情報保護法23条2項)
    1. 第三者への提供を利用目的とすること
    2. 第三者に提供される個人データの項目
    3. 第三者への提供の方法
    4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
    5. 本人の求めを受け付ける方法

  2. 個人情報取扱事業者は、②・③・に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。(個人情報保護法23条3項)

  3. 個人情報保護委員会は、上記の届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。(個人情報保護法23条4項)

あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置の限定

 オプトアウト手続による個人データの提供に際しての事前の通知または容易に知り得る状態に置く措置は、次に掲げるところにより行うこととされました。なお、通知または容易に知り得る状態に置いた事項を変更する場合も同様です(改正個人情報保護法23条2項、3項、個人情報保護法施行規則7条1項)。
 施行日前に通知する場合についても同様です(改正個人情報保護法附則2条、個人情報保護法施行規則附則6条)。

  1. 第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
  2. 本人が第三者に提供される個人データの項目等の法定事項(個人情報保護法23条2項各号)を確実に認識できる適切かつ合理的な方法によること。

 これは、従来「容易に知り得る状態」の具体例とされていた、ホームページ等への継続的な掲載や事業所での掲示や備え付けは、その方法や期間によっては本人が十分に認知し得ないのではないかとの指摘に基づくものです。

 上記①の「必要な期間」は、個人情報取扱事業者が個人情報保護法23条2項に基づき、本人に通知し、または本人が知り得る状態に置いた時点から起算します
 「必要な期間」の具体的な期間については、業種、ビジネスの態様、通知または容易に知り得る状態の態様、本人と個人情報取扱事業者との近接性、本人から停止の求めを受け付ける体制、提供される個人データの性質などによっても異なり得るため、個別具体的に判断する必要があります。なお、本人に通知しまたは本人が容易に知り得る状態に置いた時点から、極めて短期間の後に、第三者提供を行ったような場合は、「必要な期間」を置いていないと判断されます(GL(通則編)3-4-2-1)。

 上記②の「本人が第三者に提供される個人データの項目等の法定事項(個人情報保護法23条2項各号)を確実に認識できる適切かつ合理的な方法によること。」に関しては、「本人が容易に知り得る状態」として以下のような事例が該当します(GL(通則編)3-4-2-1)。

【本人が容易に知り得る状態に該当する事例】

事例1
本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合

事例2
本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合

事例3
本人に頒布されている定期刊行物への定期的掲載を行っている場合

事例4
電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合

要配慮個人情報の除外

 要配慮個人情報(個人情報保護法2条3項)については、要配慮個人情報以外の個人データでは認められるオプトアウトの手続(個人情報保護法23条2項~4項)の適用は認められません

 これは、オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱いを認めないものとしたのです。

通知等事項(届出事項)

 改正後、個人情報取扱事業者は、オプトアウト手続において、以下に掲げる事項を、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません(個人情報保護法23条2項)

  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の方法
  4. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  5. 本人の求めを受け付ける方法

 ①~④は改正前と同じ事項ですが、⑤の「本人の求めを受け付ける方法」は改正により新たに追加された事項です。

 「②第三者に提供される個人データの項目」としては、たとえば「氏名、住所、電話番号、年齢」や「氏名、商品購入履歴」が該当します。

 「③第三者への提供の方法」としては、たとえば「書籍(電子書籍を含む。)として出版」、「インターネットに掲載」、「プリントアウトして交付」、「各種通信手段による配信」、「その他外部記録媒体の形式で交付」が該当します。

 「⑤本人の求めを受け付ける方法」には、本人が求めを行う連絡先(事業者名、窓口名、郵送先住所または送信先メールアドレス等。当該個人情報取扱事業者が外国に本拠地を置く場合においては国内代理人の氏名、連絡先等)が含まれます。たとえば、「郵送」、「メール送信」、「ホームページ上の指定フォームへの入力」、「事業所の窓口での受付」、「電話」と記載することになります。

個人情報保護委員会への届出・公表

 上記3-4の通知等事項は、個人情報保護委員会に事前に届け出ることとされます(改正個人情報保護法23条2項)。個人情報保護委員会は、この届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければなりません(改正個人情報保護法23条4項)。

 個人情報保護委員会への届出・同委員会による公表を通じて、本人が必要に応じて提供停止を求めやすくなります。また、個人情報保護委員会は、オプトアウト手続を行う事業者を把握しやすくなり、適切な監督が可能となります。

(1)個人情報保護委員会への届出の様式

 別記様式第一の届出書によります(個人情報保護法施行規則7条2項)。

参照:「別記様式第一(第七条第二項、附則第二条第一項及び附則第七条第一項関係)届出書

(2)個人情報保護委員会への届出の方法

 個人情報取扱事業者は、個人情報オプトアウト手続による個人データの提供に際しての個人情報保護委員会への事前の届出は、次に掲げる方法のいずれかにより行わなければなりません。なお、届け出た事項を変更する場合も同様です(個人情報保護法施行規則7条2項)。

  1. 個人情報保護委員会が別途定めるところにより、情報処理システムを使用する方法(※)
  2. 届出書および当該届出書に記載すべき事項を記録した光ディスク等(CD-R)等を提出する方法
(※)施行日前に届出を行う場合および個人情報保護委員会が①について別途定めるまでの間については、②の方法によります。(個人情報保護法施行規則附則2条)

(3)代理人による届出

 個人情報取扱事業者は、代理人によって上記の届出を行う場合には、代理権限を証する書面(電磁的記録を含む)(別記様式第二の委任状)を提出しなければなりません。(個人情報保護法施行規則7条3項)。
 弁護士等が代理人として提出する場合も該当します(PC485)。

参照:「別記様式第二(第七条第三項、附則第二条第二項及び附則第七条第二項関係)委任状

(4)外国にある個人情報取扱事業者の代理人

 外国にある個人情報取扱事業者は、オプトアウト手続による個人データの提供に際しての個人情報保護委員会への事前の届出を行う場合には、国内に住所を有する者であって、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を有するものを定めるとともに、当該届出と同時に、代理権限を証する書面を個人情報保護委員会に提出しなければなりません(個人情報保護法施行規則8条)。

(5)個人情報保護委員会による公表

 個人情報保護委員会による個人情報取扱事業者によるオプトアウトの届出に係る事項の公表は、届出があった後、遅滞なく、インターネットの利用その他の適切な方法により行います(改正個人情報保護法23条4項、個人情報保護法施行規則9条)。

(6)個人情報取扱事業者による公表

 個人情報取扱事業者は、上記オの個人情報保護委員会による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、第三者に提供される個人データの項目等の法定事項(変更があったときは、変更後の事項)を公表しなければなりません(個人情報保護法施行規則10条)。

 基本的には「インターネットの方法」による「公表」が望ましいですが、個人情報取扱事業者の特性、本人との近接性などにより、当該方法以外の適切な方法による公表も可能です(GL(通則編)3-4-2-1)。

 個人情報取扱事業者が、改正個人情報保護法23条2項に係る事項をインターネットで「容易に知り得る状態」に置いている場合には、実質的に個人情報保護法施行規則10条を履行しているものと考えられます(PC496)。

経過措置

 改正個人情報保護法施行後にオプトアウトの方法により個人データを第三者に提供しようとする個人情報取扱事業者は、平成29年3月1日より、「本人の求めを受け付ける方法」に掲げる事項に相当する事項について本人に通知するとともに、同項各号に掲げる事項(上記①~⑤)に相当する事項について個人情報保護委員会に届け出ることができます。この場合には、当該通知および届出は、施行日以後は、同項の規定による通知および届出とみなされます(改正個人情報保護法附則2条)。

個人情報取扱事業者によるオプトアウト手続が不十分な場合

 個人情報取扱事業者による本人への通知方法や本人が容易に知りうる状態が不適切な場合には、個人情報保護委員会は、①当該個人情報取扱事業者に対して、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告すること、②勧告を受けた個人情報取扱事業者が正当な理由なく勧告された措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認められるときは、勧告した措置をとるよう命令することができます(個人情報保護法42条1項・2項)

 個人情報保護委員会は個人情報取扱事業者に対して、個人情報の取扱いについて報告を求め、または立入検査を行うことができます(個人情報保護法40条)。

 措置命令を受けた事業者が命令に従わない場合は、6か月以下の懲役または30万円以下の罰金に処せられます(個人情報保護法84条)。  

オプトアウト手続から個人データの共同利用への変更について

 改正個人情報保護法の全面施行により、オプトアウト手続が厳格化すること、また、オプトアウト手続による個人データの第三者提供については、確認・記録義務が適用されることになること(改正個人情報保護法25条、26条)から、オプトアウト手続による第三者提供をやめて、個人データの共同利用(改正個人情報保護法23条5項3号)に切り替える動きがあります。

 個人データの共同利用は、特定の者との間で共同して利用される個人データを当該特定の者に提供する場合において、次の①から⑤までの情報を、提供にあたりあらかじめ本人に通知し、または本人が容易に知り得る状態に置いているときには、当該提供先は、本人から見て、当該個人データを当初提供した事業者と一体のものとして取り扱われる合理性があると考えられることから、第三者に該当しない(すなわち、共同利用者への個人データの提供について本人の同意不要)とされているものです。また、第三者に該当しないので、確認・記録義務の適用もありません。

  1. 共同利用する旨
  2. 共同して利用される個人データの項目
  3. 共同して利用する者の範囲
  4. 利用する者の利用目的
  5. 当該個人データの管理について責任を有する者の氏名または名称

 ここで、「オプトアウト手続」から「個人データの共同利用」への切り替えが認められるかが問題となります。
 この点に関しては、個人情報保護法ガイドライン(通則編)においては、既に特定の事業者が取得している個人データを他の事業者と共同して利用する場合には、既に取得している事業者が個人情報保護法15条1項の規定により特定した利用目的の範囲で共同して利用しなければならないとされているところであり(GL(通則編)3-4-3(3))、特段禁じられるものではありません。

 ただし、「共同して利用する者の範囲」については、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲でなければなりません。また、既に取得済みの個人情報取扱事業者の利用目的の範囲内でしか利用することはできません。

 さらに、共同利用開始後に「共同して利用する者の範囲」を変更することは原則としてできず、改めて共同利用の手続をとる必要があります。

<追記>
2017年12月27日(水)18:30:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

無料会員にご登録いただくことで、続きをお読みいただけます。

90秒で登録完了

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する