【個人情報保護の最重要アプローチ】オプトインとオプトアウト
2025.04.16[契約]
【事業者も!私たちも!保護されるべき個人情報】
こんにちは。西新宿の行政書士、田中良秋です。
私たちが日常生活やビジネスのうえで
個人情報を取得する機会は少なくなく、
その取り扱いは重要な課題と言えます。
個人情報保護法という法律上では、
これら個人情報を第三者へ提供する際のルールを
オプトイン
オプトアウト
に分けて定められており、
耳にする機会も増えていますが、
しかしその具体的な内容やルールについては
あまりよくわからない、
という方もいらっしゃるのではないでしょうか。
オプトイン、オプトアウトとはなにか。
また個人情報保護法をはじめとする
法ルールとの関わり、
これらに基づいて、特に事業者の皆さまが
注意、対策すべき点についてご紹介します。
【オプトアウトとは】
オプトアウトとは、個人情報を受け取りや利用の拒否の意思表示
をあらわす言葉で、
英語では
opt(=選ぶ・決める) +out(外に出す)
=不参加や脱退という意味合いがあります。
この方式は
マーケティングや個人情報の観点で
個人情報送信者である事業者が主導権を握り
販売促進などを目的とした
WEBサービスなどの場面で活用され
近年はビジネスや日常生活において
急速に浸透しています。
たとえば、
事業者がユーザーに対して送信する
メールマガジンや広告宣伝メール
がわかりやすく、
事業者は
特に問題や要望のない限り
これらのメールサービスを配信しますが、
もしユーザーが受信拒否の意思表示をすれば
事業者は配信停止の対応をとります。
※このほか、
Googleストリートビューも
この方式が活用されており、
ユーザーがもし
自宅付近などの画像掲載されたくない場合は
その旨を申請することによって
画像が削除される仕組みとなっています。
オプトアウトのルールを
さらに深く理解するために、
相反するもうひとつのルールである
オプトインを知ることも大切でしょう。
オプトインとは、
個人情報の受け取りや利用の際の許諾の意思表示
という
オプトアウトと正反対の意味であり、
事業者が
ユーザーを含めた第三者に個人情報を提供する際
本人から事前に同意を得ることを前提に
その特定情報を第三者に提供するものです。
原則として、
個人情報の第三者への提供は
オプトイン方式による同意を得ることが必要で、
個人情報受信者である第三者が主導権を握ります。
たとえば、
事業者が情報の利用や情報掲載メール送信
においては
ユーザーから受信することの同意
を得なければなりません。
メールマガジンを例に挙げると
よく目にするのが
事業者が用意する登録フォーム上の
「個人情報の取得や利用を承諾します」
などのチェックボックスでしょう。
ここでユーザーが自分の意思で
チェックを入れない限りは
メールマガジンが配信されることはない
などの措置がとられます。
こうしてユーザーが送信許可したメールは、
オプトインメールと呼ばれます。
※現在は
特定電子メール法
特定商取引法
によっても、
販売促進を目的としたメールなどは
オプトイン方式だけと定められ、
ユーザーの許諾なしに
オプトアウト送信されることは
は法律で禁じられています。
【パーソナルデータを守る!個人情報保護法】
個人情報の保護や適切な取り扱いを定める
個人情報保護法では、
今回ご紹介している個人情報などを
次のように定義しています。
この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。(個人情報保護法第16条3項)
この章及び第8章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
⑴ 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
⑵ 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(個人情報保護法第16条1項)
この法律に基づいて、
個人情報を取り扱う事業者が
個人データを第三者に提供するにあたっては
本人から同意をとらなければならない、
つまり、
オプトイン方式で本人の同意を得ない限り
事業者は
勝手に個人データを第三者に提供できない
ことが大原則になっています。
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。(個人情報保護法第23条)
個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第20条第1項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの(その全部又は一部を複製し、又は加工したものを含む。)である場合は、この限りでない。
(個人情報保護法第27条第2項)
※e-Gov:個人情報の保護に関する法律
※この第三者とは、
事業者側から見た、グループ会社や親子会社
も該当します。
ただし、
こうしたルールに対する例外として
本人の同意がなくても
法令に基づく場合
人の生命、身体又は財産の保護のために必要
であるが
本人の同意を得ることが困難な場合
などは、
第三者に個人データなどの情報提供が可能です。
【個人情報保護法上でのオプトアウトルール】
事業者が保有する個人データを
オプトアウト方式で第三者に提供する場合、
メインの目的が広告宣伝ではないメール
を活用する傾向が高い
と考えます。
こうした場合、
事業者の立場としてはやはり
オプトアウト方式を活用したいと考えるのが
自然でしょう。
このような場合は、
プライバシーポリシーなどに
必要事項を記載のうえ公表し、
個人データの第三者提供あたっては
オプトアウトで本人の同意をとったなどの旨
を事前に届け出なければなりません。
※個人情報保護委員会:オプトアウト届出書検索
オプトアウト制度を利用した
個人データの第三者提供の際には、
次の項目を
本人に通知
or
本人が容易に知り得る状態に置きます。
提供事業者は
その提供先や
提供データ項目の記録、保存を
提供を受ける第三者もまた
提供元や取得経緯
受け取ったデータ項目の記録、保存
が義務付けられています。
これらルールに違反した場合は、
個人情報保護委員会によって
個人情報の取扱いにおいて
立入検査や是正勧告がなされ、
違反行為者には
MAX1年の懲役orMAX100万円の罰金
法人に対してはMAX1億円の罰
が課せられます。
【特定電子メール法上の規定】
個人情報の第三者提供において
個人情報保護保護法以外にも
チェックしておきたい法律があります。
それが、
特定電子メール法
(特定電子メールの送信の適正化等に関する法律)
です。
インターネットが環境が普及した現在、
オプトアウト方式で
大量のダイレクトメールを
不特定多数に発信する業者などが急増し、
私たちにとっていわゆる迷惑メール
となっている問題から、
制定された法律で、
その後の改正を経て
販促メッセージなどの特定電子メール送信
といった営業行為が含まれる情報配信
における
オプトアウト方式禁止
オプトイン方式での送付
がルール化されています。
※特定電子メールとは、
送信者=営利目的活動の団体&個人が
「自己or他人の営業につき
広告or宣伝手段で送信するメール
を指します。
【オプトアウト方式第三者提供における注意ポイント】
事業者の皆さまが
個人データを第三者提供する際に
注意すべきポイントを4点、ピックアップしました。
1⃣オプトアウト方式採用の明示
事業者は、
保有個人データをオプトアウト方式で
第三者に提供する際、
オプトアウト方式であること明示しましょう。
明示するツールとして活用できるのが、
利用規約などの書類です。
メールマガジンを配信する場合は、
受信解除方法を分かりやすく明記して
その手続きが簡単にできるようにしておく
のがベターです。
※利用規約については、
こちらのコラムでご紹介しています。
一方、
慎重な配慮を求められるような個人データ
においては、
オプトイン方式の採用を十分に検討しましょう。
2⃣提供・受取記録の保存義務
事業者が個人データを第三者に提供
するにあたっての提供記録は
原則3年間の保存が義務付けられています。
事業者がその個人データの利用機会がなくなった
としても、
第三者との提供授受記録は安易に処分せず
慎重に取り扱うことで
自社のコンプライアンス対策としても機能します。
3⃣第三者への提供停止義務
オプトアウト方式による第三者提供のときに
本人から申し出があった場合、
事業者は、
個人データ利用を継続しているかどうか
に関わらず
第三者提供を停止する必要があります。
本人に停止申請の受付方法を適切に案内のうえ、
申し出があった場合は速やかに対応しましょう。
この本人の申し出に関しては
あくまで本人の意思を十分に尊重し、
手続きを複雑化させたり解除を遅らせるなど
オプトアウトを妨げることがNGであるのは、
言うまでもありません。
4⃣オプトアウト方式の提供NGデータ
オプトアウト制度では
第三者提供へ同意したとみなすルール
が適用されるため、
次のようなデータは
オプトアウト方式で第三者に提供できません。
事業者が個人データを取り扱う際には
これらに該当したデータでないかを確認しておき、
もし該当する場合は、
データの提供を受ける前に
本人からオプトイン方式で同意を受けたか
チェック
しましょう。
また、
架空メールアドレスを宛先とするメールは
送信者情報や送信元のアドレスを偽っている
ことが多く、
いわゆる迷惑メールと判断され
このようなメールが送信された場合は
電気通信事業者によるメールサービス提供拒否
法的罰則(罰金3,000万円以下、行政指導)
などのペナルティが発生することにも
注意したいところです。
4⃣届出手続きの必要性
事業者が
個人データを第三者に提供するにあたって
本人へ通知
or
本人が簡単に知り得る状態にしておくとともに、
オプトアウト方式を採用する場合は
個人情報保護委員会への届出が必要となります。
個人情報保護委員会への届け出事項は
以下の9点です。
ちなみに本人が簡単に知り得る状態とは、
事業者のホームページ上トップページに
一定事項の記載ページリンクを反映
メールマガジン上の定期掲載
などの措置が講じられていること
が挙げられます。
【オプトインによるメール配信における注意ポイント】
広告宣伝メールが中心となるであろう
オプトイン方式採用によるメール配信では、
次の3点に注意したいところです。
1⃣受信承諾の獲得
事業者としては、
個人情報の取得や利用における承諾を得た手段
をユーザーに認識してもらい、
受信承諾を確証できる状態で
メールを配信することが大切です。
またユーザーの受信承諾も、
ユーザー自身の意思表明であることを
はっきりさせる必要があります。
たとえば
メールマガジンなどに入力フォームを設定して
ユーザーも受信承諾するかどうかのチェック
を入れてもらい
チェックボックスが未チェックであれば
メールマガジン登録できないようにする
などが有効です。
2⃣受信承諾されたことのアナウンス
ユーザーが気付かずに受信承諾した
ことになっていると、
実質的なオプトアウト方式となってしまうため、
事業者は、
送信メールは広告目的であること
&受信の承諾を受けた旨を、
わかりやすい箇所にわかりやすい表現で掲載
する必要があるでしょう。
また、
こうした受信承諾の確認手段や時期などを記録
しておくとベターです。
3⃣個人情報保護方針の明示
1⃣2⃣と合わせて
より確実にユーザー承諾が立証できる対応として
おすすめしたいのが、
個人情報保護指針を作成し
ユーザーに確認してもらうことです。
事業者として
ホームページ上に個人情報保護方針ページを作成
し、
オプトイン方式による個人情報取得・利用を説明
します。
ユーザーが
メールマガジン登録や資料ダウンロードの際には、
個人情報保護方針ページへ誘導し、閲覧のうえ
同意ボタンを押してもらう
などの対応が望ましいです。
⇒個人情報保護指針などのドラフト作成、
コンサルティングを承っています。
当事務所までご相談ください。
【適切な個人情報取り扱いには最新ルールのチェックを!】
個人情報の保護というアプローチ観点から、
事業者が個人データを第三者に提供する際は
基本的にオプトイン方式を採用し、
イレギュラーケースとして
適用範囲を制限したうえでオプトアウト方式を
採用します。
個人情報を取り扱うにあたっての法ルールは
事勢に合わせて度重なる改正がなされ、
求められる対応も複雑に変割っていますので
事業者の皆さまは
思わぬトラブルに巻き込まれないよう
最新情報を注意深くチェックのうえ
適切に対応していくことが求められます。
WINDS行政書士事務所は
個人情報保護策の一環としての
利用規約などのドラフト作成やコンサルティング
といった予防法務の対応を承っております。
保有個人データの管理体制や対応方法など
についても
リーガルチェック面からご相談いただけますので
お気軽にご相談ください。
