個人情報保護法でさだめるオプトアウトとは?届出の手続きを確認

 2020.10.12  カスタマーデータ活用ポータル編集部

自社の顧客情報を適正に管理するにあたり、個人情報保護法についての理解は欠かせません。特に、2017年の改正で厳格化した個人情報保護法を遵守するためには、オプトアウトの手続きを正しく踏む必要があります。そこで当記事では、このオプトアウトについてわかりやすく解説するとともに、具体的な手続きについてもご紹介します。

オプトアウトとは?

「オプトアウト」とは、そのままだと許可の状態で、本人からの意思表示があった場合に禁止の状態になることを指します。英語では「opt out」と表記し、「身を引く」「脱退する」ことを意味します。

個人情報保護法におけるオプトアウトとは、個人情報の第三者提供について事前に知らせておくことで、本人が同意したものとみなし、本人が希望したときに第三者への提供を停止することを指します。

個人情報の第三者提供とは、事業者が保有する利用者の個人情報を、事業者以外の別の誰かに提供することです。つまり、企業が自社で保有する顧客データを名簿業者や下請け会社に渡す際に、Webサイトなどに利用目的を公開していれば、本人からの許諾を得ているとみなすのがオプトアウトです。

対となる言葉に、「オプトイン」という言葉があります。これは、個人情報の利用に際して、事前に本人から許諾を得ることを指します。英語では「opt in」と表記し、「参加する」「加入する」などを意味します。

個人情報を第三者に提供するには届出が必要

従来では、オプトアウト方式で個人情報を第三者に提供する場合、個人情報の取り扱いについて事前通知しておけば問題はありませんでした。しかし後述の理由により、個人情報保護法改正に伴い、事前の個人情報保護委員会への届出が必要となりました。その際、個人情報保護法の第23条2項にて、以下の情報を提出することが定められています。

  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人データの項目
  • 第三者への提供の方法
  • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  • 本人の求めを受け付ける方法

参考サイト:個人情報の保護に関する(平成十五年法律第五十七号) 施行日:令和二年一月七日

なお、個人情報保護法とは別に、メールマガジンなどの配信については「特定電子メールの送信の最適化等に関する法律(以下、特電法)」という法律が定められています。特電法では、広告宣伝のために送信される電子メールには、オプトイン方式が義務付けられているので注意が必要です。

個人情報保護法の改正によりオプトアウトの手続きが厳格に

現行法は2015年に成立し、2017年に施行されたものです。この法改正の背景には、2014年に起きた某大手通信教育会社による顧客情報流出事件の影響があります。同社から流出した個人情報は、「名簿屋」と呼ばれる個人情報を売買する業者の手に渡り、大規模に情報が流通し、最終的にはおよそ3500万件もの個人情報が流出する事態にまで発展しました。

それを受けて現在は、オプトアウトの手続きが厳格化したほか、事業者は個人情報を提供された年月日や経緯を記録・保存することなどが義務化されています。

改正された内容

2017年に施行された個人情報保護法の内容について、押さえておきたいポイントを6つご紹介します。

1.法律の適用対象を変更

以前は5000件以上の個人情報を扱う事業者を個人情報取扱事業者として、法律の対象としていましたが、現在では取り扱い件数に関わらず、個人情報を保有している事業者はすべて法律の適用対象となります。

これにより、中小企業や町内会のような小規模組織であっても、1件でも個人情報を保有していれば法律が適用されるようになりました。

2.個人情報取得の記録義務付け

自社が別の企業に個人データを渡す場合には、データの提供年月日や提供先の氏名などの記録を作成・保存することが義務化されました。逆に、事業者が別の企業から個人データを受け取る際にも、提供者の氏名や取得経緯といった情報を確認したうえで、内容の記録・保存が義務化されています。

3.データベース提供罪

個人情報データベースなどを不正な利益を図る目的で第三者に提供、および盗用する行為は処罰の対象となりました。これは企業のみならず、個人にも適用されます。

4.オプトアウト手続き

オプトアウト規定を利用する個人情報取扱事業者は、必要事項を委員会に届け出ることが義務付けられています。また委員会は、その内容を公表します。

5.個人情報の定義の明確化

個人情報の定義に身体的特徴などが対象となることを明確化し、要配慮個人情報(本人の人種・信条・病歴など、本人に対する不当な差別または偏見が生じる可能性のある個人情報)の取得については、原則として本人同意を得ることを義務化しています。

6.匿名加工情報の規定

ビッグデータの利活用を目的として、匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報)の利活用の規定も新設されました。

なお、2020年6月には「個人情報の保護に関する法律等の一部を改正する法律案」が可決されました。まだ施行には至っていませんが、オプトアウトにより他の企業に渡すことができる個人データの範囲を限定する、Cookieを個人関連情報として規定するなどの内容が盛り込まれており、改めて確認と注意が必要です。

届出手続きの手順

2017年の改正個人情報保護法施行により、オプトアウト手続きで個人データを第三者提供しようとする事業者は、個人情報保護委員会へ届け出ることが必要です。届け出は以下の流れに沿って行います。

1)届け出様式をダウンロードする

届出書ファイルをダウンロードし、必要事項を記入します。

2)届け出書を作成する

届出書に必要事項を入力後、プリントアウトして押印します。さらに、届出書ファイルはCD-Rに保存します。

3)書類を郵送する

上記で用意した押印済の届出書とCD-Rを受付係宛に郵送します。メールなどでは受け付けてもらえないため注意しましょう。

違反があった場合

オプトアウトの手続きで何らかの不正・違反行為があった場合には、委員会より是正を勧告・命令される可能性があります。場合によっては6ヶ月以下の懲役、または30万円以下の罰金が科せられる可能性もあります(2020年の改正により、罰則が1年以下の懲役、または100万円以下の罰金に引き上げられた)。

個人情報保護法に違反する行為や予期せぬ個人情報漏洩は、法的な罰則以外にも損害賠償請求や社会的信用の失墜といったリスクもあるため、ビジネスにおいて大きなダメージを受ける可能性があります。

そのような目に合わないためにも、自社できちんと法律に則り手続きをしているかどうか、個人情報保護法や同法に関するガイドラインを確認しておく必要があります。

まとめ

企業がオプトアウト方式の手続きについて知らずに、個人情報を委託先等に渡してしまうと法律違反になります。「知らなかった」では済まされないため、必要な手続きなどについて理解を深めておくことが求められます。

また、個人情報保護法は3年ごとに見直す規定になっており、2020年6月には改正個人情報保護法が成立しています。オプトアウト手続きに関しても現在とは変わっていくため、こまめに情報収取をしておくことをおすすめします。


RECENT POST「顧客管理」の最新記事


顧客管理

顧客データの管理と活用

顧客管理

ソーシャルログインで指標される個人情報とは?

顧客管理

GDPRの制裁金が科せられた事例と求められるセキュリティ対策

顧客管理

データプライバシー保護法の傾向とこれから

個人情報保護法でさだめるオプトアウトとは?届出の手続きを確認