オプトアウト方式による個人データの第三者提供
オプトアウト方式による個人データの第三者提供に関する規律を取上げます。
オプトアウト方式による第三者提供
個人データの第三者提供は,事前に本人の同意を必要とするオプトイン方式が原則です(個人データの第三者提供参照)。もっとも,個人情報保護法は,オプトアウト方式によることも認めています。
あらかじめ本人に対して,個人データを第三者に提供することを通知又は認識できる状態にしておき,本人が反対しない限り,同意したものとみなして,第三者提供を認める方式をオプトアウト方式といいます。
改正個人情報保護法では,オプトアウト方式による第三者提供が厳格化されました。
個人情報保護法23条
2 個人情報取扱事業者は,第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について,本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって,次に掲げる事項について,個人情報保護委員会規則で定めるところにより,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置くとともに,個人情報保護委員会に届け出たときは,前項の規定にかかわらず,当該個人データを第三者に提供することができる。
①第三者への提供を利用目的とすること。
②第三者に提供される個人データの項目
③第三者への提供の方法
④本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
⑤本人の求めを受け付ける方法
3 個人情報取扱事業者は,前項第二号,第三号又は第五号に掲げる事項を変更する場合は,変更する内容について,個人情報保護委員会規則で定めるところにより,あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置くとともに,個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は,第二項の規定による届出があったときは,個人情報保護委員会規則で定めるところにより,当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも,同様とする。
オプトアウト方式による第三者提供の厳格化
オプトアウト方式は,個人の権利利益の保護の要請と個人データの第三者提供を業とする産業の保護の要請の調和を図る目的で,設けられています。
しかし,オプトアウト方式が取られていることを本人が認識できない状態が通常化し,形骸化していると批判がありました。そこで,改正個人情報保護法では,オプトアウト方式を取る場合は,個人情報保護委員会へ届出を義務付け,個人情報保護委員会に届出事項を公表する義務を負わすことにしました。
届出義務に違反した場合,個人情報保護委員会による指導・助言,勧告・命令を経て,命令違反に対して罰則が科されます。
なお,要配慮個人情報については,オプトアウト方式による第三者提供は認められていません。
あらかじめ,本人に通知し,又は本人が容易に知り得る状態に置く
オプトアウト方式による個人データの第三者提供を行うには,一定の事項を事前に本人が容易に知り得る状態に置く必要があります。
この要件は,事前の本人同意に代替する機能を果たすものです。一時的な公表では足りず,継続的に掲載することが求められます。
旧個人情報保護法下では,ウェブサイトへの記載や事務所での掲示といった方法が多く取られていました。しかし,本人には,どのウェブサイトや事務所にオプトアウト方式による第三者提供の記載があるかが,わからないという批判がありました。そこで,改正個人情報保護法では,個人情報保護委員会規則で具体的な方法を定めることにしました。
規則では,以下のように規定しています。
①第三者提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと
②本人が個人情報保護法23条2項各号に掲げる事項を確実に認識できる適切かる合理的な方法によること
個人情報保護委員会に届け出た
オプトアウト方式による第三者提供の形骸化に対応するために,個人情報保護委員会への届出が義務化されました。届出の内容は個人情報保護委員会によって公表されます。
届出制は,公表制度の前提と同時に,個人情報保護委員会がオプトアウト方式をとる個人情報取扱事業者を把握して監督するために必要な情報の取得という意味合いを有します。
本人の求めを受け付ける方法
改正個人情報保護法で追加された事項です。規則で具体的な方法が規定され,その中から個人情報取扱事業者が選択することになります。
具体的な方法としては,以下のようなものが考えられます。
①電話
②書面
③電子メール
④営業所の窓口での口頭での対応
⑤ウェブサイトの入力フォームへの記載