改正個人情報保護法:オプトアウトによる第三者提供の届出
2017/02/27
【執筆者 渡邉雅之】
平成28年11月30日に、渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されました。
改正個人情報保護法とマイナンバー法の規程集は下記をご覧ください。
改正個人情報保護法・マイナンバー法:規程集
本年5月30日に施行される個人情報の保護に関する法律(以下「個人情報保護法」または「法」といいます。)の改正においては、いわゆるオプトアウト手続が厳格化されます。それに先行して、本年3月1日から個人情報保護委員会への届出が可能となります。
個人情報保護委員会にこの届出の手続がアップデートされておりますのでご覧ください。
オプトアウトによる第三者提供の届出
また、下記では、オプトアウトの手続の厳格化について説明いたします。
1 オプトアウト手続
個人情報取扱事業者が個人データの第三者提供をするためには、あらかじめ本人の同意を得るのが原則です(保護法23条1項本文)。本人から「事前の同意」を得ることを「オプトイン」(opt-in)とも言います。
これに対して、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを、「オプトアウト」(opt-out)といいます。
現行の個人情報保護法においては、個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる�@〜�Cの事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができることとされています(保護法23条2項)。
�@第三者への提供を利用目的とすること。
�A第三者に提供される個人データの項目
�@_ 三者への提供の手段又は方法
�C本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
_
2 改正の背景
本改正の背景は、平成26年6月に発覚した、株式会社ベネッセコーポレーション(以下「ベネッセ」といいます。)の会員情報の流出です。
平成26年6月27日、ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の個人情報を名簿業者3社へ売却したことが発覚しました。
この際に、名簿業者が、名簿(個人データ)を本人が認知し得ないオプトアウトの方法を用いて、他の名簿業者に拡散していたことが発覚しました。
これが今回のオプトアウト手続の厳格化の改正の契機となりました。
3 改正内容
(1)厳格化の内容
オプトアウトの方法による個人データの第三者提供の下記の各点において厳格化します(保護法23条2項〜4項)。
l_ 「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置」を限定
l_ 要配慮個人情報についてはオプトアウトの方法が利用できないことになる。
l_ 「あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く」事項(通知等事項)として「本人の求めを受け付ける方法」が追加される。
l_ 通知等事項について個人情報保護委員会にあらかじめ届け出なければならない。
l_ 個人情報保護委員会は、オプトアウトの届出があったときは当該届出に係る事項を公表しなければならない。
_
【改正法により厳格化するのは下線部です。】
1.個人情報取扱事業者は、本人同意を得ない個人データ(要配慮個人情報を除く。)の第三者提供をしようとする場合には、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。(保護法23条2項)
�@第三者への提供を利用目的とすること
�A第三者に提供される個人データの項目
�B第三者への提供の方法
�C本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
�D本人の求めを受け付ける方法
2.個人情報取扱事業者は、�A・�B・�Dに掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。(保護法23条3項)
3.個人情報保護委員会は、上記の届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。(保護法23条4項)
_
(2)あらかじめ本人に通知し、又は本人が容易に知り得る状態に置く措置の限定
オプトアウト手続による個人データの提供に際しての事前の通知又は容易に知り得る状態に置く措置は、次に掲げるところにより行うこととされました。なお、通知又は容易に知り得る状態に置いた事項を変更する場合も同様です。(改正保護法23条2項、3項、規則7条1項)
施行日前に通知する場合についても同様です(改正法附則2条、規則附則6条)。
_
�@ 第三者に提供される個人データによって識別される本人が当該提供の停止を求めるのに必要な期間をおくこと。
�A 本人が第三者に提供される個人データの項目等の法定事項(法23条2項各号)を確実に認識できる適切かつ合理的な方法によること。
これは、従来「容易に知り得る状態」の具体例とされていた、ホームページ等への継続的な掲載や事務所での掲示や備え付けは、その方法や期間によっては本人が十分に認知し得ないのではないかとの指摘に基づくものです。
「必要な期間」(�@)は、個人情報取扱事業者が法23条2項に基づき、本人に通知し、又は本人が知り得る状態に置いた時点から起算します。「必要な期間」の具体的な期間については、業種、ビジネスの態様、通知又は容易に知り得る状態の態様、本人と個人情報取扱事業者との近接性、本人から停止の求めを受け付ける体制、提供される個人データの性質などによっても異なり得るため、個別具体的に判断する必要がある(GL(通則編)3-4-2-1)。本人に通知し又は本人が容易に知り得る状態に置いた時点から、極めて短期間の後に、第三者提供を行ったような場合は、「必要な期間」を置いていないと判断される。
上記�Aの「本人が第三者に提供される個人データの項目等の法定事項(法23条2項各号)を確実に認識できる適切かつ合理的な方法によること。」に関しては、「本人が容易に知り得る状態」として以下のような事例が該当します(GL(通則編)3-4-2-1)。
_
【本人が容易に知り得る状態に該当する事例】
事例1)本人が閲覧することが合理的に予測される個人情報取扱事業者のホームページにおいて、本人が分かりやすい場所(例:ホームページのトップページから1回程度の操作で到達できる場所等)に法に定められた事項を分かりやすく継続的に掲載する場合
事例2)本人が来訪することが合理的に予測される事務所の窓口等への掲示、備付け等が継続的に行われている場合
事例3)本人に頒布されている定期刊行物への定期的掲載を行っている場合
事例4)電子商取引において、商品を紹介するホームページにリンク先を継続的に表示する場合
_
(3)要配慮個人情報の除外
要配慮個人情報(保護法2条3項)については、要配慮個人情報以外の個人データでは認められるオプトアウトの手続(保護法23条2項〜4項)の適用は認められません。
これは、オプトアウト手続については、法に定める一定の手続をとったとしても、実際には本人が明確に認識できないうちに個人データが第三者に提供されるおそれがあるため、情報の性質上慎重な取扱いが求められる要配慮個人情報にはかかる取扱意を認めないものとしたのです。
_
(4)通知等事項(届出事項)
改正後、個人情報取扱事業者は、オプトアウト手続において、以下に掲げる事項を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません(保護法23条2項)。
_
�@第三者への提供を利用目的とすること
�A第三者に提供される個人データの項目
�B第三者への提供の方法
�A_ 人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
�D本人の求めを受け付ける方法
_
�@〜�Cは改正前と同じ事項ですが、�Dの「本人の求めを受け付ける方法」は改正により新たに追加される事項です。
「�A第三者に提供される個人データの項目」としては、例えば「氏名、住所、電話番号、年齢」や「氏名、商品購入履歴」が該当します。
_「�B第三者への提供の方法」としては、例えば「書籍(電子書籍を含む。)として出版」、「インターネットに掲載」、「プリントアウトして交付」、「各種通信手段による配信」、「その他外部記録媒体の形式で交付」が該当します。
「�D本人の求めを受け付ける方法」は、)には、本人が求めを行う連絡先(事業者名、窓口名、郵送先住所又は送信先メールアドレス等。当該個人情報取扱事業者が外国に本拠地を置く場合においては国内代理人の氏名、連絡先等。)が含まれます。例えば、「郵送」、「メール送信」、「ホームページ上の指定フォームへの入力」、「事業所の窓口での受付」、「電話」と記載することになります。
_
(5)個人情報保護委員会への届出・公表
上記(4)の通知等事項は、個人情報保護委員会に事前に届け出ることとされます(改正保護法23条2項)。個人情報保護委員会は、この届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければなりません(同条4項)。
個人情報保護委員会への届出・同委員会による公表を通じて、本人が必要に応じて提供停止を求め易くなります。また、個人情報保護委員会は、オプトアウト手続を行う事業者を把握しやすくなり、適切な監督が可能となります。
_
ア 個人情報保護委員会への届出の様式
別紙様式第一の届出書によります。
_
イ 個人情報保護委員会への届出の方法
個人情報取扱事業者は、個人情報オプトアウト手続による個人データの提供に際しての個人情報保護委員会への事前の届出は、次に掲げる方法のいずれかにより行わなければなりません。なお、届け出た事項を変更する場合も同様です。(規則7条2項)
_
�@ 個人情報保護委員会が別途定めるところにより、情報処理システムを使用する方法(※)
�A 届出書及び当該届出書に記載すべき事項を記録したCD−R等を提出する方法
_
(※)施行日前に届出を行う場合及び個人情報保護委員会が�@について別途定めるまでの間については、�Aの方法によります。(規則附則2条)
_
ウ 代理人による届出
個人情報取扱事業者は、代理人によって上記の届出を行う場合には、代理権限を証する書面(電磁的記録を含む。)(別紙様式第二の委任状)を提出しなければなりません。(規則7条3項)
弁護士等が代理人として提出する場合も該当します。
_
エ 外国にある個人情報取扱事業者の代理人
外国にある個人情報取扱事業者は、オプトアウト手続による個人データの提供に際しての個人情報保護委員会への事前の届出を行う場合には、国内に住所を有する者であって、当該届出に関する一切の行為につき、当該個人情報取扱事業者を代理する権限を有するものを定めるとともに、当該届出と同時に、代理権限を証する書面を個人情報保護委員会に提出しなければなりません(規則8条)。
_
オ 個人情報保護委員会による公表____
個人情報保護委員会による個人情報取扱事業者によるオプトアウトの届出に係る事項の公表は、届出があった後、遅滞なく、インターネットの利用その他の適切な方法により行います(改正保護法23条4項、規則9条)。
_
カ 個人情報取扱事業者による公表
個人情報取扱事業者は、上記オの個人情報保護委員会による公表がされた後、速やかに、インターネットの利用その他の適切な方法により、第三者に提供される個人データの項目等の法定事項(変更があったときは、変更後の事項)を公表しなければなりません(規則10条)。
基本的には「インターネットの方法」による「公表」が望ましいですが、個人情報取扱事業者の特性、本人との近接性などにより、当該方法以外の適切な方法による公表も可能です(GL(通則編)3-4-2-1)。
個人情報取扱事業者が、改正法23条2項に係る事項をインターネットで「容易に知り得る状態」に置いている場合には、実質的に規則10条を履行しているものと考えられます。
_
(6)経過措置
改正法施行後にオプトアウトの方法により個人データを第三者に提供しようとする個人情報取扱事業者は、平成29年3月1日以降、改正法の全面施行日である同年5月30日以前においても、「本人の求めを受け付ける方法」に掲げる事項に相当する事項について本人に通知するとともに、同項各号に掲げる事項(上記�@〜�D)に相当する事項について個人情報保護委員会に届け出ることができます。この場合には、当該通知および届出は、施行日以後は、同項の規定による通知および届出とみなされます(改正法附則2条、施行日政令)。
_
4 個人情報取扱事業者によるオプトアウト手続が不十分な場合
個人情報取扱事業者による本人への通知方法や本人が容易に知りうる状態が不適切な場合には、個人情報保護委員会は、�@当該個人情報取扱事業者に対して、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告すること、�A勧告を受けた個人情報取扱事業者が正当な理由なく勧告された措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認められるときは、勧告した措置をとるよう命令することができます(保護法42条1項・2項)。
個人情報保護委員会は個人情報取扱事業者に対して、個人情報の取扱いについて報告を求め、又は立入検査を行うことができます(保護法40条)。
措置命令を受けた事業者が命令に従わない場合は、6か月以下の懲役または30万円以下の罰金に処せられます(保護法84条)。
*********************
改正個人情報保護法につきましてご相談・セミナー等につきましては、下記にご連絡ください(無料のご質問には一切応じませんのでご了承ください。)。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp
_
