<ポイント>
◆オプトアウト提供の際に本人に個人データの取得方法等の通知等が新たに追加
◆オプトアウト規定により提供された個人データを同規定により再提供することができなくなる
個人情報取扱事業者(本稿では単に事業者といいます)は、原則として、個人データを第三者に提供するにはあらかじめ本人の同意が必要です。
しかし、例外的に、本人の同意なく提供が許される場合があります。その一つがオプトアウト規定による場合です。ここにいうオプトアウト(opt out)とは「団体・活動などから身を引く、脱退する」を原義とする英語ですが、個人情報保護法では、本人の求めに応じて当該本人が識別できる個人データの第三者への提供を停止することを指し、そうしている場合には一定の条件下で第三者への提供が認められています。
一定の条件とは、本人の求めに応じて第三者への提供を停止することやその受付方法などを個人情報保護委員会規則(本稿では個人情報委員会を単に委員会といいます)で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知りうる状態に置くこと、委員会に届け出ること、です。
また、事業者が第三者に個人データの提供をするにあたっては、原則として一定の事項を確認し記録する義務(確認記録義務)があります。事業者が提供を受ける場合も同様です(詳しくは第7回で述べます)。
しかし、いわゆる名簿屋の中には、委員会への届出をせずに、過去の住民基本台帳(2006年11月の禁止以前の閲覧によると思われる)や同窓会名簿等から取得した個人データを呉服店、自動車教習所等へ提供している者がいる実態があります。オプトアウト手続きに関する委員会への届出の内容と実際の状況が異なる業者がいることも判明しているということです。
これらに対しては、委員会は、届出を行っている全事業者に届出書の記載内容の確認を求め、必要に応じて再届け出を行わせています。また、事業者の業務実態や未届事業者の把握を継続的に行う等名簿屋対策を進めるということです。
本人がオプトアウト手続きをとる上で必要十分な具体性のある内容が提供されていないとの懸念もあります。
そこで、今回の改正により、本人に通知等及び委員会へ届け出る内容として、第三者への提供を行う事業者の名称等(法人の場合には代表者の氏名も)及び住所、第三者に提供される個人データの取得の方法、その他委員会規則で定める事項が追加されました(本稿ではこれらを追加事項といいます)。
事業者の氏名等は届出の前提として記載すべき事項として取り扱われていたのですが、法律に明記されていなかったので変更時の届出義務に疑義があったので明確にしたものです。
また、改正法が施行された時点で追加事項の届出がなければオプトアウトによる第三者提供が許されないので、附則によって改正法施行前に追加事項の届出を行えるようにしています(2021年10月1日から)。
名簿屋に持ち込まれる名簿の中には、本人が提供した覚えのない形で流通している場合があり、提供者が違法、不正に取得している可能性があるとの実態があります。
そこで、個人データが要配慮個人情報である場合、不正な手段による取得による場合にはオプトアウト規定による第三者提供は許されないことになりました。
さらに、名簿屋同士で名簿の取引がされることも多く、名簿屋を含むオプトアウト届出事業者の中には確認記録義務の履行が不十分な者もいたということです。そのため、名簿の流通により本人が関与することが困難となってきています。
そこで、今回の改正により、オプトアウト規定により提供された個人データをオプトアウト規定により再提供することができなくなりました。
上記のいずれの場合も、個人データの全部又は一部を複製し、又は加工したものを含みますが、具体的には、個人データを別の媒体や保存先に複製したデータ、元の個人データの一部の項目の順序を入れ替えたデータなどが該当すると思われます。
なお、これらの規制を担保するために、今回の改正では第三者提供時の確認記録義務(上記の個人データの取得方法にはオプトアウト規定により提供されたことも該当します)の開示義務化も加えられましたが、詳細については第7回で解説します。