トピックス

2020.01.10
NEWS

個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第6回「オプトアウト制度の強化」~


令和2年( 2020 年) 3月 10 日、「 個人情報の保護に関する法律等の一部を改正する法律案 」 が閣議決定され、 国会 に提出されました 。
※個人情報保護委員会の「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」において、法律案、新旧対照表、概要資料等が公表されています。

下記の本ニュースレターでは、改正個人情報保護法の重要論点についてQ&A形式で解説いたします。

Q&A改正個人情報保護法

※こちらもご覧ください。
【改正個人情報保護法】個人関連情報の第三者提供の制限等(改正法26条の2):クッキー(Cookie)などの端末識別子を個人データとして取得する場合は本人の同意が必要に

【改正個人情報保護法】仮名加工情報の創設

令和元年(2019年)12月13日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下「制度改正大綱」という。)を公表し、パブリックコメントとして意見募集を開始した(意見締切:2020年1月14日)[1]。本稿では、制度改正大綱のうち、民間事業者に影響を与える内容を中心に分かりやすく解説する。第6回は、「オプトアウト制度の強化」について解説する。

個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)

(制度改正大綱)
個人情報保護法 いわゆる3年ごと見直し 制度改正大綱
(全体取りまとめ版)
Q&A個人情報保護法改正の方向性(制度改正大綱を読み解く)
(ニュースレター形式)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第1回「端末識別子等の取扱い」~
 個人情報保護法改正の方向性(第2回:仮名化情報)
個人情報保護法改正の方向性(第3回:開示請求・利用停止請求等)
個人情報保護法の改正の方向性(3年ごと見直しの制度改正大綱) ~第4回「漏えい等報告及び本人通知の義務化」~
個人情報保護法改正の方向性(第5回:適正な利用義務の明確化)
個人情報保護法改正の方向性(第6回:オプトアウト制度の強化)
個人情報保護法改正の方向性(第7回:ペナルティの強化・課徴金制度の導入見送り)
個人情報保護法改正の方向性(第8回:公益目的による個人情報の取扱いに係る例外規定の運用の明確化)
個人情報保護法改正の方向性(第9回:域外適用と越境データ移転に関する改正の方向性)
(その他)
個人情報保護法ニュースNo.1:リクナビ事件と個人情報保護法の改正
個人情報保護法ニュースNo.2:個人情報保護法改正の方向性(第1回:端末識別子等の取扱い)
 (関連ニュースレター)
Q&A『デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方』
 
執筆者:渡邉雅之
* 本ニュースレターに関するご相談などがありましたら、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之
TEL 03-5288-1021
FAX 03-5288-1025
Email m-watanabe@miyake.gr.jp
 
第1.オプトアウト規制の強化(制度改正大綱第3章第1節6.「オプトアウト規制の強化」)(11頁~13頁)
 
【改正の方向性】
  • 執行の強化
指導等を行った事業者の業務実態や未届事業者の把握を継続的に行うなど、執行による名簿屋対策の徹底を進め、個人情報保護法に適合しない形で名簿等が取り扱われている場合には必要な措置をとっていく。
  • オプトアウトの対象となる個人データの限定
名簿の流通により本人の関与が困難となっている現状を踏まえ、オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう、個人の権利利益を保護する観点から、オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していく。
  • 届出対象事項の追加
適正な執行の確保等といった観点から、事業者の名称や住所といった基本的事項を届出事項として追加するとともに、変更があった場合の届出を求め、委員会がオプトアウト届出事業者の所在を把握できるようにする。
  • 第三者提供時の確認記録義務の開示義務化
第三者への提供時・第三者からの受領時の記録も、開示請求の対象とすることとする。
 
【制度改正大綱の内容】
第1節 個人データに関する個人の権利の在り方
6.オプトアウト規制の強化
(1)執行の強化
〇 いわゆるオプトアウト規定については、平成27年改正法により改正前の手続に加え、委員会への届出義務が創設された。制度としては一定程度有効に機能しているものと評価される。
○ 名簿屋対策については、古くから問題とされていた中、従来、名簿屋対策に責任を持つ主務官庁が必ずしも明確でなかったところ、平成27年改正法により、届出義務が課されるオプトアウト規定が導入されるとともに、委員会が一元的に対応することが可能となった。こうした中、相談ダイヤルやタウンミーティングの中で対策の徹底を求める意見が多い。また、中間整理の意見募集でも、名簿屋対策についてより厳格な執行を求める意見が多く寄せられた。
〇 これまで委員会が行った実態調査4では、確認・記録義務の履行が不十分な業者や未だ届出のない事業者が存在することが分かった。また、本人がオプトアウトの要否を判断する手がかりとなる、オプトアウト手続に関する委員会への届出の内容と実際の業況が異なる業者が存在することも判明している。さらに、本人が、第三者提供後の用途を考慮しオプトアウト手続をとる上で必要十分な具体性のある内容が提供されているかどうかという点で、懸念がある。
〇 このような実態を踏まえ、委員会においては、届出を行っている全事業者に対し、届出書の記載内容の確認を求め、必要に応じて再届出を行わせている。今後も指導等を行った事業者の業務実態や未届事業者の把握を継続的に行うなど、執行による名簿屋対策の徹底を進め、個人情報保護法に適合しない形で名簿等が取り扱われている場合には必要な措置をとっていく。
 
  • オプトアウトの対象となる個人データの限定
〇 さらに、委員会が行った実態調査において明らかとなった課題は、適正に取得していないと思われる個人データをオプトアウト規定により流通させる等、個人の権利利益保護の観点から問題のある取扱いである。
〇 具体的には、名簿屋の個人情報の取得については、判明している限りにおいて、第三者から提供を受けて取得するケースが大半を占める。名簿屋に持ち込まれる名簿の中には、本人が提供した覚えのない形で流通しているような名簿が含まれている実態があり、提供者が違法に持ち出したり、不正の手段で取得している名簿も含まれているとみられる。名簿を取得する名簿屋においても、提供者が不正の手段で取得していることを知り、又は容易に知り得るケースがあるものとみられる。
〇 また、いわゆる名簿屋同士で名簿が取引されることもある。平成29年度に委員会が実施した個人情報の第三者提供事業等に係る実態調査では、オプトアウト届出を行っている事業者約30者を対象としてヒアリング等を行ったところ、半数近い事業者が同業者間で個人情報の取引を行っていることが判明した。
〇 さらに、名簿屋を含むオプトアウト届出事業者は、個人データの第三者提供の際、又は第三者提供を受ける際に確認・記録義務を負うところ(法第25条、第26条)、その義務を履行していない事業者もあった。
〇 このように、名簿の流通により本人の関与が困難となっている現状を踏まえ、オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう、個人の権利利益を保護する観点から、オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していくこととする。
 
(3)届出対象事項の追加
〇 オプトアウト規定に基づく第三者提供は、個人情報の利活用の観点から必要性がある一方で、本人の同意なく個人データが第三者提供され、個人の権利利益の観点から問題のある取扱いがされるおそれがあることから、委員会としてもその実態を把握した上で、適切に権限を行使する必要がある。しかし、オプトアウト届出に関しては、現行法上、事業者の住所等の基本的な事項が法定の届出事項となっていないことから、届出後、一定期間経過後に住所変更等により連絡がつかなくなる場合がある。平成31年4月に委員会が実施したオプトアウト届出事業者の実態調査において、同年3月31日時点の全158者に調査票を郵送したところ、所在不明により6者の事業者とは連絡がとれなかった。
〇 適正な執行の確保等といった観点から、事業者の名称や住所といった基本的事項を届出事項として追加するとともに、変更があった場合の届出を求め、委員会がオプトアウト届出事業者の所在を把握できるようにする。
 
(4)第三者提供時の確認記録義務の開示義務化
〇 平成27年改正法においては、第三者提供に係る確認記録が義務付けられることとなった。この確認義務は、①不正の手段によって取得された個人情報が転々流通することを防止し、また、②記録の作成・保存の義務により、個人情報の流通に係るトレーサビリティの確保を図るものである。しかしながら、この「個人情報の流通に係るトレーサビリティ」は、あくまでも監督機関から見たトレーサビリティの確保であって、本人からみたトレーサビリティは担保されなかった。
〇 個人情報の流通に係るトレーサビリティについては、本人にとって利用停止権や請求権を行使する上で、必要不可欠な要素である。実際、委員会が設置している相談ダイヤルには、個人情報の取得元の開示を求めることはできないかという相談や、取得元の開示を求める制度を作るべきであるという意見が多く寄せられている。
〇 したがって、第三者への提供時・第三者からの受領時の記録も、開示請求の対象とすることとする。
 
【参考】
〇個人情報の保護に関する法律
((第三者提供の制限)
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一~四(略)
2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
五 本人の求めを受け付ける方法
3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。
4 個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。
5・6(略)
 
【解説】
1.執行の強化
オプトアウト規定については、平成27年改正法により改正前の手続に加え、委員会への届出義務が創設された。制度としては一定程度有効に機能しているものと評価される。
 しかしながら、これまで委員会が行った実態調査では、確認・記録義務の履行が不十分な業者未だ届出のない事業者が存在することが分かった。また、本人がオプトアウトの要否を判断する手がかりとなる、オプトアウト手続に関する委員会への届出の内容と実際の業況が異なる業者が存在することも判明している。さらに、本人が、第三者提供後の用途を考慮しオプトアウト手続をとる上で必要十分な具体性のある内容が提供されているかどうかという点で、懸念がある。
 制度改正大綱では、このような実態を踏まえ、委員会においては、届出を行っている全事業者に対し、届出書の記載内容の確認を求め、必要に応じて再届出を行わせている。今後も指導等を行った事業者の業務実態や未届事業者の把握を継続的に行うなど、執行による名簿屋対策の徹底を進め、個人情報保護法に適合しない形で名簿等が取り扱われている場合には必要な措置をとっていくこととされている。
 
2.オプトアウトの対象となる個人データの限定
個人情報保護委員会が行った実態調査において明らかとなった課題は、適正に取得していないと思われる個人データをオプトアウト規定により流通させる等、個人の権利利益保護の観点から問題のある取扱いである。
具体的には、名簿屋の個人情報の取得については、判明している限りにおいて、第三者から提供を受けて取得するケースが大半を占める。名簿屋に持ち込まれる名簿の中には、本人が提供した覚えのない形で流通しているような名簿が含まれている実態があり、提供者が違法に持ち出したり不正の手段で取得している名簿も含まれているとみられる。名簿を取得する名簿屋においても、提供者が不正の手段で取得していることを知り、又は容易に知り得るケースがあるものとみられる。
また、いわゆる名簿屋同士で名簿が取引されることもある。平成29年度に委員会が実施した個人情報の第三者提供事業等に係る実態調査では、オプトアウト届出を行っている事業者約30者を対象としてヒアリング等を行ったところ、半数近い事業者が同業者間で個人情報の取引を行っていることが判明した。
さらに、名簿屋を含むオプトアウト届出事業者は、個人データの第三者提供の際、又は第三者提供を受ける際に確認・記録義務を負うところ(法第25条、第26条)、その義務を履行していない事業者もあった。
このように、名簿の流通により本人の関与が困難となっている現状を踏まえ、制度改正大綱では、オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう、個人の権利利益を保護する観点から、オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していくこととされている。
現行個人情報保護法においても、要配慮個人情報については、オプトアウトの対象とすることが禁じられている(同法23条2項)。
 制度改正大綱では、オプトアウトの対象となる個人データがどのように限定されるのか明らかではないが、上記の記述からすると以下のような個人データはオプトアウトの対象とすることが禁じられるものと考えられる。
  • 不正な手段で取得(同法17条)した個人情報を含む個人データ
  • オプトアウト手続で取得した個人データ
  • 確認・記録義務(同法25条、26条)を履行しないで取得した個人データ
 
 なお、個人情報保護委員会の『個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)』においては、「2-2 解釈により確認・記録義務が適用されない第三者提供」が認められているが、実質的に本人同意があることが前提であり、「オプトアウトによる第三者提供(法第23 条第2 項)には、基本的には、次の考え方は当てはまらない」とされている。オプトアウト手続ではなく、本人の同意に基づき提供を受けた(取得した)個人データについて、解釈上の例外に該当するとして確認・記録義務を履行していない場合もオプトアウト規定の対象外となるかが注目される。
 
3.届出対象事項の追加
オプトアウト届出に関しては、現行法上、事業者の住所等の基本的な事項が法定の届出事項となっていないことから、届出後、一定期間経過後に住所変更等により連絡がつかなくなる場合がある。個人情報保護委員会によれば、平成31年4月に委員会が実施したオプトアウト届出事業者の実態調査において、同年3月31日時点の全158者に調査票を郵送したところ、所在不明により6者の事業者とは連絡がとれなかったとのことである。
そこで、制度改正大綱では、適正な執行の確保等といった観点から、事業者の名称や住所といった基本的事項を届出事項として追加するとともに、変更があった場合の届出を求め、委員会がオプトアウト届出事業者の所在を把握できるようにすることとされている。
 
4.第三者提供時の確認記録義務の開示義務化
平成27年改正法においては、第三者提供に係る確認記録が義務付けられることとなった。この確認義務は、①不正の手段によって取得された個人情報が転々流通することを防止し、また、②記録の作成・保存の義務により、個人情報の流通に係るトレーサビリティの確保を図るものである。しかしながら、この「個人情報の流通に係るトレーサビリティ」は、あくまでも監督機関から見たトレーサビリティの確保であって、本人からみたトレーサビリティは担保されなかった。
個人情報の流通に係るトレーサビリティについては、本人にとって利用停止権や請求権を行使する上で、必要不可欠な要素である。実際、委員会が設置している相談ダイヤルには、個人情報の取得元の開示を求めることはできないかという相談や、取得元の開示を求める制度を作るべきであるという意見が多く寄せられている。
 そこで、制度改正大綱では、第三者への提供時・第三者からの受領時の記録も、開示請求の対象とすることとするとされている。
なお、個人情報保護委員会の『個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)』においては、「2-2 解釈により確認・記録義務が適用されない第三者提供」が認められているが、解釈上の例外に該当し確認・記録義務を負わない場合には、開示請求の対象とならないものと考えられる。この点が明確化されるかが注目される。
 
以 上

[1]https://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000058&Mode=0