今回の個人情報保護法の改正で、「オプトアウト方式」による個人情報の第三者提供が厳格化されました。なかには、「オプトアウトってどんな方式だったっけ?」と知識があやふやな人もいるかもしれません。
以下では、そもそもオプトアウトとはどのような方式なのか確認したうえで、改正前後でオプトアウト方式のルールがどのように変わったのか、企業が確認しておくべきポイントについて説明します
そもそも「オプトアウト方式」とは?
個人データを第三者に提供する場合、原則として本人の同意が必要になります。これを「オプトイン方式」といいます。
改正前の個人情報保護法では、あらかじめ本人に対して、提供される情報の種類や提供の方法について本人に通知または、ウェブサイトに掲載するなど本人が容易に知りうる状態においておけば、本人の同意がなくても個人情報を第三者に提供できるという例外が認められていました。これを「オプトアウト方式」といいます。
改正前のオプトアウト方式
以前から、要配慮個人情報 (個人データの中でも個人にとってとくに重要なもの) については、「オプトアウト方式」による第三者提供はできないことになっていました。
要配慮個人情報とは、個人の人権、身上、身分、病歴、犯罪歴など、特に取扱いに配慮を要する個人情報のことをいいます。
そのような情報は、「オプトアウト方式」による第三者提供はできず、必ず「オプトイン方式」による手続が必要とされていました。
改正法でオプトアウトのルールはどう変わった?
今回の改正法では、以下のとおりオプトアウト方式の利用が厳格化されています。
(1) オプトアウト方式で第三者提供できない範囲が広がる
今回の改正で、要配慮個人情報意外にも、オプトアウト方式で第三者提供できない個人データの種類が増えました。具体的には以下のものは、オプトアウトの手続で第三者提供できず、必ずオプトインの方法が必要になります。
① 不正な手段で取得された個人データ
② オプトアウト方式により提供された個人データ
(2) オプトアウト方式を採用している場合の届出事項が増えた
企業が個人データをオプトアウトの方法で第三者に提供する場合には、個人情報保護委員会に特定の事項を届け出る必要がありますが、下記の事項が追加となりました。
- 事業者の氏名、住所、代表者の氏名
- 第三者に提供される個人データの取得方法
- その他、個人の権利利益を保護するために必要な事項
おわりに
オプトアウト方式を採用している事業者は、提供対象の個人データを見直すとともに、追加になった届出事項について対応する必要があります。違反した場合は、個人情報保護委員会から是正措置の勧告や命令を受けるおそれがあり、さらに命令に従わない場合は6ヶ月以下の懲役または30万円以下の罰金に処せられるため注意しましょう。
コメント