オプトアウトとは、個人情報(個人データ)の本人から「私の個人データを第三者に提供してよいですよ」というはっきりした同意はとらないけれど、本人が「私の個人データの第三者提供を止めてください」と求めたときは、個人データの第三者提供をやめる、という形で個人データを第三者に提供する形のことです。
このページでは、オプトアウト・オプトインとはなにか、オプトアウトに関する個人情報保護法の改正について弁護士が解説いたします。
目次
オプトアウトって何?オプトインとあわせて解説
個人情報保護法のルールのひとつに、「民間企業(個人情報取扱事業者)が個人データを第三者に提供するには、その個人データの本人から同意をとらなければならない」というものがあります。
例えば、通信販売のビジネスを行っている会社があるとしましょう。
この会社は、通信販売の商品を注文したお客さんの個人情報を取得し、これを個人データとして保管することになるでしょう。
この通販会社が、取得した個人データを自社以外の第三者に提供しようとするときは、この通販会社は、原則として、個人データの本人から「私の個人データを第三者に提供してよいですよ」という同意をとらなければなりません(※6)。
※6 個人情報保護法が定める一定の場合を除きます。
このように、民間企業が手持ちの個人データを第三者に提供しようとする場合に、個人データの本人から同意を取得する方法には、「オプトイン」と「オプトアウト」という2つの方法があります(※7)。
「オプトイン」とは、個人情報(個人データ)の本人から、「私の個人データを第三者に提供してよいですよ」というはっきりした同意を得ることをいいます。
これに対し、「オプトアウト」とは、個人情報(個人データ)の本人から「私の個人データを第三者に提供してよいですよ」というはっきりした同意はとらないけれど、本人が「私の個人データの第三者提供を止めてください」と求めたときは、個人データの第三者提供をやめる、という形で個人データを第三者に提供する形のことです。
個人情報保護法のルールでは、民間企業が個人データを第三者に提供するには、「オプトイン」の方法で本人から同意をとらなければならないのが原則です。
「オプトアウト」の方法を使うためには、(a) プライバシーポリシーなどに必要な事項を記載して公表し、さらに、(b) 個人情報保護委員会に「当社は個人データを第三者に提供するにあたり、本人の同意はオプトアウトでとります」ということなどを事前に届出しなければなりません(個人情報保護法23条2項)。
参考:オプトアウト届出書一覧|個人情報保護委員会
オプトアウトの方法による第三者提供を個人情報保護委員会に届け出た企業の一覧を、個人情報保護委員会のウェブサイトで見ることができます。
これが、民間企業が手持ちの個人データを第三者に提供するにあたって、本人から同意をとる場合の「オプトイン」・「オプトアウト」の考え方です。
※7 「オプトイン」「オプトアウト」は、実は個人情報保護法の中に出てくる正式な法律用語ではありません。しかし、上記の個人情報保護委員会のウェブサイトでも「オプトアウト」の言葉が使われていることからもわかるように、個人データの第三者提供の場面では、これらは重要なキーワードになっています。
オプトアウトに関する改正
2020年の個人情報保護法の改正では、「オプトアウト」に関するルールが変更されました。
ここからは、オプトアウトに関する個人情報保護法の改正の内容を解説します。
オプトアウトの方法を使えない個人データが増えた
個人情報保護法のルールのもとでは、従来から、個人データの中でも個人にとって重要なものについては、上記で説明したような手続をしても、「オプトアウト」の方法による第三者への提供はできないことになっています。
例えば、個人の病歴に関する情報は、上記で説明したような手続をしても、「オプトアウト」の方法による第三者提供はできないことになっています。このような情報を第三者に提供するには、必ず「オプトイン」の方法が必要になります。
2020年の個人情報保護法の改正では、「オプトアウト」の方法を使えない個人データ(つまり「オプトイン」の方法しか使えない個人データ)が増えました。
改正前のルール「要配慮個人情報」(※8)は、オプトアウトの方法で第三者提供することができない(個人情報保護法23条2項)
改正後のルール- 次のいずれかに該当する個人データは、オプトアウトの方法で第三者提供することはできない
- 要配慮個人情報
- 不正な手段で取得された個人情報
- オプトアウトの方法による第三者提供の方法によって取得した個人情報
- 上記(2.) または(3.)を複製(コピー)したり加工したりしたもの(改正後個人情報保護法23条2項ただし書き)
- 上記(2.)から(4.)が、2020年改正で新しく追加されたものです。
※8 「要配慮個人情報」とは、個人情報の中でも、個人の人種、身上、身分、病歴、犯罪歴など特に取扱いに配慮を要する情報のことをいいます(個人情報保護法2条3項)。
オプトアウトによる第三者提供をする場合の通知・公表・届出事項が拡大
民間企業が手持ちの個人データを「オプトアウト」の方法で第三者に提供するときは、次の2つのことを行う必要があります。
- (a) プライバシーポリシーなどに必要な事項を記載して公表する
- (b) 個人情報保護委員会に対して事前に届出をする(個人情報保護法23条2項)。
2020年の個人情報保護法の改正では、この手続において通知・公表・届出をしなければならない項目が増加しました。
とても細かい変更ですのでこの記事では詳細には言及いたしませんが、今後オプトアウトの方法で個人情報の第三者提供をしようとする民間企業のみなさまはご注意が必要です。
不明なことがありましたら個人情報保護法に詳しい弁護士にご相談下さい。
民間企業のとるべき対応
現在、手持ちの個人データをオプトアウトの方法で第三者に提供している民間企業はそれほど多くないと思われます。
しかし、そのような企業であっても、第三者から個人データの提供を受ける立場になる可能性があるかもしれません。
第三者から個人データの提供を受ける場合は、その提供を受ける個人データが、改正後の個人情報保護法でオプトアウトの禁止されたものでないか、確認するようにしましょう。
もし提供を受ける個人データがオプトアウトの禁止されたものであったときは、その提供を受ける前に、本人からきちんとオプトインの方法で同意を受けているかを確認しましょう。
