執筆:弁護士 藤田 貴敬( AI・データ(個人情報等)チーム )
1.はじめに
現在、個人情報保護委員会(以下「個情委」といいます。)では、令和6年6月に公表された「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(以下「中間整理」といいます。)を踏まえて、各論点について各ステークホルダーとの間で様々な議論がされております。そして、中間整理の中では、オプトアウト規制を含めた第三者提供規制のあり方についても論点として挙げられており、今後の改正の方向性が注目されるところです。
オプトアウト規制ついては、平成27年改正及び令和2年改正のいずれの改正においても、厳格化の方向での改正がされており、加えて、直近では個情委からも令和5年4月26日付け「オプトアウト届出事業者に対する実態調査を踏まえた個人情報の適正な取扱いについて(注意喚起)」及び「SNSで実行犯を募集する手口による強盗や特殊詐欺事案に関する緊急対策プラン」を踏まえた個人情報の適正な取扱いについて(注意喚起)」が出され、加えて、令和6年1月17日付でオプトアウト届出事業者に対する指導等を行うなどしており、オプトアウトを利用者に対する個情委の見方は厳しいものがあるといえます。
本記事では、上記のような流れを踏まえて個情委においてどのような改正の方向性で議論がされているのか、という点について、オプトアウト規制のポイントを概観しながら、解説していきます。
2.オプトアウトによる第三者提供
(1) 概要
まず、個人情報保護法(以下「個情法」といいます。)第27条1項では、個人情報取扱事業者は、あらかじめ本人の同意を得ない限り、個人データを第三者提供してはならない旨が規定されております。
このような本人同意規定の例外として、同条2項で一定の事項をあらかじめ本人に通知するか又は本人が容易に知り得る状態に置くとともに、個情委に届け出た場合には、あらかじめの本人同意を得ることなく、個人データを第三者に提供できる旨が規定されております。この規定がオプトアウトによる第三者提供の規定と呼ばれるものです。
オプトアウトによる第三者提供が用いられる例としては、住宅地図事業者(表札や郵便受けを調べて住宅地図を作成・販売する)やデータベース事業者(ダイレクト用の名簿等を作成・販売する)が自社のホームページなどで作成したデータベースなどを常時掲載しておき、本人からの停止の求めを受け付けられる状態にし、個情委に必要な届出を行った上で、販売等を行う場合が挙げられています(個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則GL」といいます。)3-6-2-1)
(2) オプトアウトが認められる個人データ
オプトアウトによる第三者提供が認められない個人データとしては次のようなものが挙げられています。
① 要配慮個人情報である個人データ
② 不適正な手段により取得された個人データ
③ オプトアウト規制により第三者提供を受けた個人データ
なお、上記①~➂の全部又は一部を複製したり、加工したとしても、オプトアウトによる第三者提供を行うことはできません。
(3) 本人に事前に通知等しなければならない事項及びその変更
次に、オプトアウト規制による第三者提供が認められるためには、一定の事項をあらかじめ、本人に通知し、又は本人が容易に知り得る状態に置く必要がありますが、具体的には次の事項を通知等する必要があります(個情報第27条2項各号、個人情報保護法施行規則(以下「規則」といいます。)第11条4項)。
① 個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名
② 第三者への提供を利用目的とすること
③ 第三者に提供される個人データの項目
④ 第三者に提供される個人データの取得の方法
⑤ 第三者への提供方法
⑥ 本人の求めに応じて個人データの第三者への提供を停止すること
⑦ 本人の求めを受け付ける方法
⑧ 第三者に提供される個人データの更新の方法
⑨ 届出に係る個人データの第三者への提供を開始する予定日
上記の事項の変更についてですが、項目によって、変更の可否並びに変更の通知等及び以下(5)で説明する個情委への届出時期が異なっており、注意が必要です。
対象の項目 | 通知等の時期及び個情委への届出時期 |
|---|---|
①個人情報取扱事業者の氏名又は名称及び住所並びに法人等の代表者の氏名 | 遅滞なく |
※オプトアウトによる第三者提供を停止する場合 | |
②第三者への提供を利用目的とすること | そもそも変更不可 |
➂第三者に提供される個人データの項目 | あらかじめ |
④第三者に提供される個人データの取得の方法 | |
➄第三者への提供方法 | |
⑥本人の求めに応じて個人データの第三者への提供を停止すること | そもそも変更不可 |
➆本人の求めを受け付ける方法 | あらかじめ |
⑧第三者に提供される個人データの更新の方法 | |
⑨届出に係る個人データの第三者への提供を開始する予定日 |
(4) 「あらかじめ・・・本人が容易に知り得る状態に置く」
(ア) あらかじめ
まず、第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおかなければならないとされております(規則第11条第1項第1号)。そのため、本人に通知し又は本人が容易に知り得る状態に置いた時点から、極めて短期間の後に、第三者提供を行ったような場合は、「本人が当該提供の停止を求めるのに必要な期間」をおいていないと判断され得ます。
この点、具体的な期間については、業種、ビジネスの態様、通知又は容易に知り得る状態の態様、本人と個人情報取扱事業者との近接性、本人から停止の求めを受け付ける体制、提供される個人データの性質などによっても異なり得るため、個別具体的に判断するとされております(通則GL3-6-2-1)ので、どの程度の期間を置けば、「あらかじめ」といえるのかは個別具体的に検討する必要があります。
(イ) 容易に知り得る状態に置く
容易に知り得る状態に置いたといえるためには、本人が各事項を確実に認識できる適切かつ合理的な方法をとる必要があります(規則第11条1項2号)。具体的には、事業所の窓口等への書面の掲示・備付けやホームページへの掲載その他の継続的方法により、本人が知ろうとすれば、時間的にも、その手段においても、簡単に知ることができる状態をいい、事業の性質及び個人情報の取扱状況に応じ、本人が確実に認識できる適切かつ合理的な方法によらなければならないとされております(通則GL3-6-2-1)。また、容易に知り得る状態に該当する事例としては通則GLにおいて次のようなものがあげられております。
事例1)本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合
事例2)本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合
事例3)本人に頒布されている定期刊行物への定期的掲載を行っている場合
事例4)電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合
なお、上記の令和5年4月26日付け「オプトアウト届出事業者に対する実態調査を踏まえた個人情報の適正な取扱いについて(注意喚起)」においては、「ホームページに継続的に掲載するに当たっては、当該ホームページを本人が閲覧することが合理的に予測されるよう適切な方法をご検討ください。単に自社のホームページに掲載することが、必ずしもこの要件を充足するわけではないことに留意が必要」ともされており、本人がホームページを閲覧することが合理的に予測できないような場合において、本人に容易に知り得る状態に置く方法として、ホームページへ一定の事項を掲載することが必ずしも本要件を充足するわけではないことについて示唆されていることについて注意が必要です。
(5) 個人情報保護委員会への届出並びに個人情報保護委員会及び事業者による公表
オプトアウトによる個人データの第三者提供を行う場合には、あらかじめ個情委へ届出る必要があるとされております(個情法第27条2項)。なお、本人への通知等の時期と個情委への届出の時期については、必ずしも同時である必要はありませんが、本人に通知し、又は本人が容易に知り得る状態に置いた後、速やかに個人情報保護委員会に届け出ることが望ましいとされております(通則GL3-6-2-1)。なお、届出の方法や必要となる書式についてこちらの個情委のウェブサイトにおいて公表されております。
上記の届出の後、個情委での公表が行われることになり(個情法第27条4項)、事業者はかかる公表がされた後、速やかに、インターネットの利用その他の適切な方法により、届出に係る事項を公表しなければならないとされております(規則14条)。
もっとも、個情委への届出にあたり、上記(3)の各項目を自社ウェブサイトなどで、公表することにより本人が容易に知り得る状態に置いている場合には、当該公表義務についても履行しているものと考えられるため、別途公表はする必要はないとされています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-30)。
3.中間整理における検討状況
上記で、オプトアウト規制の概要について解説しましたが、最後にオプトアウト規制についての改正の方向性について見ていきたいと思います。中間整理では、以下のような考え方が示されております(以下、執筆者下線)。
オプトアウト届出事業者は、提供先の利用目的や身元等について、その内容や
真偽を積極的に確認する義務まではないことから、明確に認識しないまま意図
せず犯罪グループに名簿を提供してしまうことが生じ得る。そこで、一定の場合
には提供先の利用目的や身元等を特に確認する義務を課すことについて検討す
る必要がある。その際、確認義務の要件についての検討や、住宅地図等を広く市
販する場合など規律の在り方についても検討が必要である。
また、不正に名簿等を持ち出した者が、当該名簿等により利益を得る有力な方
法として、オプトアウト届出事業者への販売が想定される。そのため、オプトア
ウト届出事業者には、取得元における取得の経緯や取得元の身元等の確認につ
いて、より高度の注意義務を課すことが考えられる。具体的には、一定の場合に
は取得元の身元や取得の適法性を示す資料等を特に確認する義務を課すことに
ついて検討する必要がある。その際、確認義務の要件や対象の類型化についての
検討が必要である。
さらに、本人が、オプトアウト届出事業者によって個人情報が提供されており、
かつ、当該提供の停止を求めることができることを確実に認識できるようにす
るための措置など、本人のオプトアウト権行使の実効性を高めるための措置に
ついて、継続して検討する必要がある。
上記の個情委の考え方からすれば、オプトアウト規制については厳格化する方向で議論がされているように見えます。改正の視点としては、①オプトアウト事業者による提供先についての確認義務規定の追加、②オプトアウト事業者による取得元の確認義務規定の追加、➂本人によるオプトアウト権の行使の実効化を図る措置の導入になります。いずれも確定した改正内容ではないため、今後の議論や改正案の整理には注目しておく必要があります。
4.まとめ
上記で解説しましたとおり、オプトアウト規制についての個情委の考え方は厳しいものになってきており、オプトアウトによる個人データの第三者提供を行っている事業者においては、今後更なる対応が求められる可能性はございます。そのため、今後の法改正情報のアップデートに注目しておく必要があるかと思います。
GVA法律事務所では、オプトアウト規制への対応アドバイスのほか、個人情報保護法や情報セキュリティに関する様々なご相談もいただけます。ご不明点やご相談などありましたら、お気軽にお問い合わせください。
以上
監修
弁護士 阿久津 透
(個人情報保護法、電気通信事業法といったデータ・通信に関する分野を中心に担当。 データ分析やマーケティング施策実施における法規制の対応、情報漏えい対応などデータの利活用に関する実務対応を行っている。 その他、スタートアップファイナンス、企業間紛争も対応。)
