個人情報保護法のオプトアウト制度とは?個人データの第三者提供に関する事業者の義務を弁護士が解説
目次
個人データの第三者提供に関するトラブルを防ぐためには、オプトアウト制度の利用や提供できる個人データの範囲など、具体的な内容を理解しておくことが大切です。また、個人情報保護法の改正では、個人データの第三者提供の際の個人情報取扱事業者の義務について追加の規制があり、以前より個人情報の保護に対応している場合でも、改めて義務の内容を確認しておくことが必要になります。今回は、法改正を踏まえた事業者の対策と注意点について解説します。
▶参考情報:基本となる「個人情報保護法における本人に向けた対応」については、以下で詳しく解説していますのでご参照ください。
・個人情報保護法における本人に向けた対応の基本的ルール
オプトアウト制度とは何か
オプトアウト制度とは、個人情報取扱事業者が事前に「一定の事項」を本人に通知等するとともに個人情報保護委員会に届け出ることで、本人が停止を申し出ない限り、個人データの第三者提供に同意したものとみなし、事業者に第三者提供を認める制度です。第三者提供の都度、本人の同意を必要としないことから、便利な制度として活用が望まれる制度ですが、事業者としては、データの管理体制を整えるなど、対応には、それ相応の労力が必要となります。
オプトアウト制度を利用した第三者提供の要件
オプトアウト制度を利用して、個人データの第三者提供を行うには、「一定の事項」を本人に通知又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出ることが必要になります。
▶参考情報:「個人情報の第三者提供」については、以下でも詳しく解説していますのでご参照ください。
・個人情報の第三者提供に関係する基本的ルールを弁護士が解説
「一定の事項」とは
「一定の事項」は、個人情報保護法27条2項により、以下の通り定められています。
①第三者への提供を行う事業者の氏名等
②第三者への提供を利用目的とすること
③第三者に提供される個人データの項目
④第三者に提供される個人データの取得方法
⑤第三者への提供の方法
⑥本人が求めた場合は、個人データの第三者への提供を停止する旨
⑦本人の求めを受け付ける方法
⑧提供される個人データの更新の方法
⑨届出に係る個人データの第三者提供を開始する予定日
本人に通知又は本人が容易に知り得る状態に置いておくこととは
前述の「一定の事項」については、個人情報保護委員会への届け出を行うとともに、本人に通知するか本人が容易に知り得る状態に置いておく必要があります。「容易に知り得る状態」とは、例えば、自社サイトのトップページに一定の事項の記載があるページへのリンクを貼る方法や、メルマガ等の定期刊行物で定期的に掲載する方法などが挙げられます。
第三者提供において個人データを提供する側の記録・保存義務
個人データを第三者に提供する側は、提供先や提供した個人データの項目を記録し、保存することが義務付けられています。
第三者提供において個人データの提供を受ける側の記録・保存義務
個人データの提供を受ける側についても、提供元や取得の経緯、受けたデータの項目を記録し、保存する義務が課せられています。
個人データの第三者提供を受ける場合の確認義務
提供される個人データが不正なものでないか、提供元の氏名や個人データの取得経緯等について確認する義務が提供先に課されています。トレーサビリティ(個人データが事業者から他の事業者に提供された場合に、その流通経路を追跡できる状態)の観点から不正取得された情報が流通しないために、提供元に確認するというものです。
外国にいる第三者に提供する場合の取扱いルール
改正法では、外国にいる第三者に提供する場合の取扱いルールも定められています。これはインターネットなどを通し、個人データが簡単に国を超えて授受できる環境になってきたため、厳格化されたものです。これにより外国にある第三者への個人データの提供をする際は、本人から同意を得る必要があり、データ提供をする旨、提供先の国名、提供先国の個人情報の保護制度に関する情報、提供先第三者による個人情報保護のための措置等についても併せて本人へ通知する必要があります。
個人情報の第三者提供ルールに違反するとどうなるか
ルールに違反した場合、個人情報保護委員会により個人情報の取扱いについて立入検査や是正勧告が行われます。この場合の措置命令違反に関する罰則は、当該違反行為をした者に対しては、最大1年の懲役または最大100万円の罰金、法人に対しては、最大1億円の罰金と定められています。
事業者が個人データを第三者提供する際に特に理解しておきたいポイント
特に見落としがちな以下のポイント3点について見ていきましょう。
提供・受取り記録は、原則3年間の保存義務あり
第三者提供の際の記録については、原則3年間の保存が義務付けられているため、個人データの利用が終わっても、「第三者提供授受」の記録は処分しないようにしましょう。
本人の申出により第三者提供停止の義務あり
オプトアウト制度により第三者提供をする場合、個人データの利用が継続しているか否かに関わらず、本人からの申し出を受けた際は、事業者は、第三者提供を停止する必要があります。停止申請の受付方法を自社のサイト上に明記し、速やかに対応できるようにしましょう。
オプトアウト制度では提供不可のデータ
冒頭で説明したとおり、オプトアウト制度では「第三者提供へ同意したとみなす」ルールが適用されますが、下記についてはオプトアウトの方法で第三者に提供することはできません。個人データを取り扱う際にはこれらについても、該当していないか、内容を確認しておきましょう。
①要配慮個人情報
②不正な手段で取得された個人データ
③オプトアウトの方法による第三者提供の方法によって取得した個人データ
④上記②または③の個人データをコピーしたり加工したりしたもの
まとめ
個人情報取扱事業者は、個人データの第三者提供に関する義務の強化により、これまでよりさらに注意深い対応が求められます。個人情報取扱事業者は、第三者提供を含めた個人情報の取扱いについての自社のガイドライン等を作成し、個人情報の取扱い方を明確化する等、個人情報保護の対応策を素早く整え、間違いのない第三者提供のための対策をとることが重要です。今後も、法改正に都度、的確に対応し、個人情報保護のための取り組みを継続的に行っていく必要があります。不明点などのご相談がございましたら、お気軽にお問合せください。
弁護士法人ファースト&タンデムスプリント法律事務所は、EC・通販法務には特に高い知見と経験を有しています。
「助ネコ」の株式会社アクアリーフ様、「CROSS MALL」の株式会社アイル様など、著名なECシステム企業が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番オススメなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。多数のEC企業様が、サービス設計や利用規約・契約書レビューなどにあたり当事務所を活用されていますので、いつでもご相談ください。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所
※本稿の記載内容は、2023年7月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。