PIPED BITS

最新トピック

改正個人情報保護法で認められたオプトアウトに必要なこととは?

個人情報の利用規定が厳格化

個人情報保護法はもともと、2003年5月23日に成立し、2005年4月1日に全面施行されたものです。しかし、個人情報をめぐる環境は当初から大きく変化し、2017年5月30日には改正個人情報保護法が全面施行されています。

当時と現在の状況の違いで挙げられるのは、スマートフォンの普及です。

スマートフォンの普及により、パソコンでインターネットにアクセスしていた頃よりも、個人単位のインターネットユーザーは爆発的に増加しました。同時に、事業者側でも個人ユーザーの行動状況の把握が容易に。個人ユーザーの特性に合わせたきめ細かな対応や、より的確な情報やサービスを提供が可能となりました。

一方で、個人情報の漏えいや不正な取得に対するリスクは拡大。事業者などに取得された個人情報がどのように使われるか、という不安は拭えません。

こうした変化を受け、改正個人情報保護法が2015年9月3日に成立しました。その全面施行が行われたのが2017年5月30日です。

今回の改正により、5000人以下の個人情報を取り扱う小規模事業者に対しても個人情報保護法が適用されることになりました。そのため、今後はほとんどの企業が個人情報保護法の影響下に置かれます。

また、個人情報の定義や、個人情報の開示や訂正、利用停止などの請求について、その個人情報を持つ本人が裁判所に対して行使できる権利であることが明確化されました。

このように、個人情報の運用に対しては全体的に厳格化する方向になっています。しかし、個人情報を取得する時に定めた利用目的を変更するための制限が緩やかになるなど、緩和された部分もあります。

個人情報の第三者提供における「オプトアウト」とは?

改正個人情報で大きく変わったところはもう一つあります。それは「オプトアウト」規定の設定および厳格化です。

「オプトアウト方式」とは、個人情報を第三者提供するにあたって、その個人情報を持つ本人が反対をしない限り、個人情報の第三者提供に同意したものとみなし、第三者提供を認めることです。逆に、本人が事前許諾した個人情報だけを第三者提供することを「オプトイン方式」といいます。

「オプトアウト方式」を利用すれば、あらかじめ本人に対して「個人情報を第三者提供する」という利用目的を明示しつつ、本人からの希望があれば「第三者提供を停止する」ということを事前通知しておけば問題がありませんでした。

今回の法改正により、オプトアウト方式で本人の同意を得ていない個人データを第三者提供しようとする場合には、事前にオプトアウト手続きを行っていることを個人情報保護委員会に届出をしなければならなくなりました。また、「要配慮個人情報」(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴など)は、「オプトアウト」による第三者提供が認められなくなりました。

個人情報保護委員会へは、以下の項目を明記して届出なければいけません。

・第三者への提供を利用目的にすることと、その対象項目
・第三者への提供の方法
・本人からの求めに応じて第三者提供を停止すること
・本人からの「第三者提供停止」を受け付ける方法

この届出の対象としているのは基本的に、個人情報自体を売買している、いわゆる名簿業者です。本人から個人情報利用の事前同意を得て、その目的に則って個人情報を利用している場合には第三者提供にはあたらないため、個人情報保護委員会への届出の必要はありません。

たとえば、過去のセミナー参加者に対して新商品の案内をメールで送付するといったとき、あらかじめ個人情報の利用目的について説明を行い、それに対して本人の同意を得ていれば、「オプトアウト方式」が可能となります。

また、個人情報を扱う業務の委託、事業の承継、共同利用を行う場合も、個人情報保護委員会への届出は必要ありません。

なお、個人情報保護委員会とは、それぞれの主務大臣が持っていた個人情報取扱事業者への監督権限を一手に集約することを目的に、内閣府の外局に新しく設置された組織です。この組織には立入検査の権限も付与されたので、個人情報保護法違反に対する取り締まりは大幅に強化されたといえます。

個人情報の不正利用を防ぐために保管・管理の厳格化を

改正個人情報保護法では、不正な利益を得る目的で個人データを盗んだり提供したりする行為を罰する「個人情報データベース等不正提供罪」も定められています。これまでの個人情報保護法では、個人情報の不正利用について「事業者」のみ罰則がありました。しかし、今回の法改正により、不正目的で個人情報を提供または盗用した「従業員」も処罰されるようになりました。そのため、個人情報の不正利用に対する厳罰化が進んだといえるでしょう。

このように、企業はこれまで以上に個人情報の保管・管理を厳格化しなければなりません。個人情報データへのアクセスについて、パスワード設定などによる技術的な措置を講じるだけでなく、従業員や個人情報を預けた委託先の業者が個人データを適切に取り扱うための継続的な監督も必要です。

個人情報を保管したデータベース自体にも高度なセキュリティが求められます。その際、自社内にデータベースを置くよりも、高いセキュリティを持つクラウドサービスのデータベースを利用することも選択肢として考えてみましょう。

関連記事
SPIRAL®のセキュリティ対策https://www.pi-pe.co.jp/spiral-series/spiral-suite/security/
迷惑メールにならないメルマガの送信方法とは?法律違反に要注意!https://www.pi-pe.co.jp/miteshiru/article/n_20170925-1/
オプトアウトhttps://www.pi-pe.co.jp/miteshiru/word/optout/

mautic is open source marketing automation
お役立ち情報はこちら メルマガ