改正個人情報保護法でオプトアウトの手続はどう変わったか

IT・情報セキュリティ

 改正個人情報保護法においてはオプトアウトの方法による個人データの第三者提供の手続が厳格化するとのことですが、その具体的な内容について教えてください。

 オプトアウトについて、「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」方法が明確化されると共に、オプトアウトに関する事項を個人情報保護委員会にあらかじめ届けなければならないことになります。また、要配慮個人情報を含む個人データについてはオプトアウトの方法による第三者提供は認められません。

解説

※本QAの凡例は以下のとおりです

  • 個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 施行令案:個人情報の保護に関する法律施行令の一部を改正する政令(案)に基づく改正後の同法施行令
  • 規則案:施行後の個人情報の保護に関する法律施行規則(案)
  • 経産省ガイドライン:個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン (平成26年12月12日厚生労働省・経済産業省告示第4号)

オプトアウト手続とは

 個人情報取扱事業者が個人データの第三者提供をするためには、あらかじめ本人の同意を得るのが原則です(個人情報保護法23条1項本文)。本人から事前の同意を得ることを「オプトイン」(opt-in)とも言います。
 これに対して、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを、「オプトアウト」(opt-out)といいます。

オプトインのイメージ

オプトアウトのイメージ

 現行の個人情報保護法においては、個人情報取扱事業者は、本人が求めれば個人データの第三者への提供を停止することとしている場合に、次に掲げる①~④の事項について、あらかじめ、本人に通知、又は本人が容易に知り得る状態に置いているときは、個人データを第三者に提供できるとされています(現行個人情報保護法23条2項)。

① 第三者への提供を利用目的とすること
② 第三者に提供される個人データの項目
③ 第三者への提供の手段又は方法
④ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

改正の背景

 ところが、平成27年の改正によって、オプトアウト手続は厳格化されます。
 その背景は、平成26年6月に発覚した、株式会社ベネッセコーポレーション(以下「ベネッセ」といいます)の会員情報の流出です。
 平成26年6月27日、ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の個人情報を名簿業者3社へ売却したことが発覚しました。この際に、名簿業者が、名簿(個人データ)を本人が認知し得ないオプトアウトの方法を用いて、他の名簿業者に拡散していたことも発覚しました。

参考:ベネッセお客様本部 事故の概要より

改正内容

厳格化の内容

 オプトアウトの方法による個人データの第三者提供について厳格化されるのは下記の各点になります(個人情報保護法23条2項~4項)。

  • 「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置」を限定
  • 要配慮個人情報についてはオプトアウトの方法が利用できないことになる。
  • 「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」事項(通知等事項)として「本人の求めを受け付ける方法」が追加される。
  • 通知等事項について個人情報保護委員会にあらかじめ届け出なければならない。
  • 個人情報保護委員会は、オプトアウトの届出があったときは当該届出に係る事項を公表しなければならない。

 これを条文の記載にあてはめ、改正法により厳格化される部分に下線を引いたものが以下になります。

1. 個人情報取扱事業者は、本人同意を得ない個人データ(要配慮個人情報を除く)の第三者提供をしようとする場合には、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。(個人情報保護法23条2項)
① 第三者への提供を利用目的とすること
② 第三者に提供される個人データの項目
③ 第三者への提供の方法
④ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
本人の求めを受け付ける方法

2. 個人情報取扱事業者は、②・③・⑤に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。(個人情報保護法23条3項)

3. 個人情報保護委員会は、上記の届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。(個人情報保護法23条4項)

あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置の限定

 オプトアウト手続による個人データの提供に際しての事前の通知又は容易に知り得る状態に置く措置は、次に掲げる方法により行うこととされました。なお、通知又は容易に知り得る状態に置いた事項を変更する場合も同様です(個人情報保護法23条2項、3項、規則案7条1項)。
 また、施行日前に通知する場合についても同様です(個人情報保護法附則2条、規則案附則6条)。

第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
本人が第三者に提供される個人データの項目等の法定事項(個人情報保護法23条2項各号)を確実に認識できる適切かつ合理的な方法によること。

 これは、従来「容易に知り得る状態」の具体例とされていた、ホームページ等への継続的な掲載や事務所での掲示や備え付けは、その方法や期間によっては本人が十分に認知し得ないのではないかとの指摘に基づくものです。
 上記②の「本人が第三者に提供される個人データの項目等の法定事項(個人情報保護法23条2項各号)を確実に認識できる適切かつ合理的な方法によること。」に関しては、経産省ガイドラインの「本人が容易に知り得る状態」(2-1-11)に記載されている以下の事例が参考になります。

【本人が容易に知り得る状態に該当する事例】
事例1)ウェブ画面中のトップページから1回程度の操作で到達できる場所への掲載等が継続的に行われていること。
事例2)事務所の窓口等への掲示、備付け等が継続的に行われていること。
事例3)広く頒布されている定期刊行物への定期的掲載を行っていること。
事例4)電子商取引において、商品を紹介するウェブ画面にリンク先を継続的に掲示すること。

要配慮個人情報の除外

 要配慮個人情報(個人情報保護法2条3項)(「要配慮個人情報とは?」参照)については、要配慮個人情報以外の個人データでは認められるオプトアウトの手続(個人情報保護法23条2項~4項)の適用は認められません
 これは、オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱いを認めないものとしたのです。

通知等事項(届出事項)

 改正後、個人情報取扱事業者は、オプトアウト手続において、以下に掲げる事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません(個人情報保護法23条2項)。

① 第三者への提供を利用目的とすること
② 第三者に提供される個人データの項目
③ 第三者への提供の方法
④ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
⑤ 本人の求めを受け付ける方法

 ①~④は改正前と同じ事項ですが、⑤の「本人の求めを受け付ける方法」は改正により新たに追加される事項です。
 「②第三者に提供される個人データの項目」としては、例えば「氏名、住所、電話番号」や「氏名、商品購入履歴」が該当します。
「③第三者への提供の手段」としては、例えば「書籍として出版」、「インターネットに掲載」、「プリントアウトして交付等」が該当します。
 「⑤本人の求めを受け付ける方法」は、例えば、電話、メール、ホームページにおける入力フォームへの記載、書面、窓口での対応といった、本人の求めを受け付ける具体的な方法を指します。

個人情報保護委員会への届出・公表

 上記2-4の通知等事項は、個人情報保護委員会に事前に届け出ることとされます(個人情報保護法23条2項)。個人情報保護委員会は、この届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければなりません(同条4項)。

 個人情報保護委員会への届出・同委員会による公表を通じて、本人が必要に応じて提供停止を求め易くなります。また、個人情報保護委員会は、オプトアウト手続を行う事業者を把握しやすくなり、適切な監督が可能となります。

ア 個人情報保護委員会への届出の様式

 別紙様式第一の届出書によります。

イ 個人情報保護委員会への届出の方法

 個人情報取扱事業者は、個人情報オプトアウト手続による個人データの提供に際しての個人情報保護委員会への事前の届出は、次に掲げる方法のいずれかにより行わなければなりません。なお、届け出た事項を変更する場合も同様です。(規則案7条2項)

① 個人情報保護委員会が別途定めるところにより、情報処理システムを使用する方法(※)
② 届出書及び当該届出書に記載すべき事項を記録したCD-R等を提出する方法

(※)施行日前に届出を行う場合及び個人情報保護委員会が①について別途定めるまでの間については、②の方法によります。(規則案附則2条)

ウ 代理人による届出

 個人情報取扱事業者は、代理人によって上記の届出を行う場合には、代理権限を証する書面(電磁的記録を含む。)(別紙様式第二の委任状)を提出しなければなりません。(規則案7条3項)

エ 外国にある個人情報取扱事業者の代理人

 外国にある個人情報取扱事業者は、オプトアウト手続による個人データの提供に際しての個人情報保護委員会への事前の届出を行う場合には、国内に住所を有する者であって、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を有するものを定めるとともに、当該届出と同時に、代理権限を証する書面を個人情報保護委員会に提出しなければなりません(規則案8条)。

オ 個人情報保護委員会による公表

 個人情報保護委員会による個人情報取扱事業者によるオプトアウトの届出に係る事項の公表は、届出があった後、遅滞なく、インターネットの利用その他の適切な方法により行います(個人情報保護法23条4項、規則案9条)。

カ 個人情報取扱事業者による公表

 個人情報取扱事業者は、上記オの個人情報保護委員会による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、第三者に提供される個人データの項目等の法定事項(変更があったときは、変更後の事項)を公表しなければなりません(規則案10条)。

経過措置

 改正法施行後にオプトアウトの方法により個人データを第三者に提供しようとする個人情報取扱事業者は、改正法の施行前においても、「本人の求めを受け付ける方法」に掲げる事項に相当する事項について本人に通知するとともに、同項各号に掲げる事項(2-4 ①~⑤)に相当する事項について個人情報保護委員会に届け出ることができます。
 この場合には、当該通知および届出は、施行日以後は、同項の規定による通知および届出とみなされます(個人情報保護法附則2条)。

個人情報取扱事業者によるオプトアウト手続が不十分な場合

 個人情報取扱事業者による本人への通知方法や本人が容易に知りうる状態が不適切な場合には、個人情報保護委員会は、①当該個人情報取扱事業者に対して、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告すること、②勧告を受けた個人情報取扱事業者が正当な理由なく勧告された措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認められるときは、勧告した措置をとるよう命令することができます(個人情報保護法42条1項・2項)。

 個人情報保護委員会は個人情報取扱事業者に対して、個人情報の取扱いについて報告を求め、又は立入検査を行うことができます(個人情報保護法40条)。
 措置命令を受けた事業者が命令に従わない場合は、6か月以下の懲役または30万円以下の罰金に処せられます(個人情報保護法84条)。

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集