オプトアウト規定の厳格化～改正個人情報保護法で企業に求められる対応

オフィス写真（エントランス）縮小版.JPG

改正個人情報保護法が、平成29年5月30日より全面施行されます。
これまでは取り扱う個人情報の数が5000以下の事業者には、個人情報保護法が適用されていませんでした。

この度、改正法の全面施行によって、適用除外の規定が撤廃されます。
個人情報を取り扱う事業者はすべて個人情報取扱事業者として法規制の対象になります。

企業は、個人情報保護法の内容を正しく理解し、社内体制の整備をする必要があります。

以下では、改正事項のひとつである「オプトアウト規定の厳格化」について、ご説明します。

オプトアウト規定の厳格化とは？

改正個人情報保護法では、オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届出、個人情報保護委員会は、その内容を公表するとされています。

個人データを第三者提供する際には、原則として本人の同意が必要になります。
この点に関して、改正前の個人情報保護法では、あらかじめ本人に対して、

などを事前に本人に通知し、又は知りえる状態に置いていれば、本人の同意がなくても個人データを第三者に提供できるという手続き（オプトアウト）という例外がありました。

今回の改正により、オプトアウトによる第三者提供について、事業者の届出義務が新設され、オプトアウトが規則に従う必要があるなど新たな規制が加えられています。

オプトアウトを行う場合には、個人情報保護委員会に届出をすることになります。
そのため、オプトアウトを行うことが予定される場合には、届出の準備が必要になります。

また、オプトアウトを行う場合には、本人に通知し、又は本人が容易に知りえる状態に置くべき事項として、新たに「本人の求めを受け付ける方法」が追加されました。

そのため、プライバシーポリシーに「本人の求めを受け付ける方法」を追加する必要があります。

そして、当該届出の内容は個人情報保護委員会によって公表されることになります。
情報主体である本人が、オプトアウトを行なっている企業について適切に把握できるようにすることを目的としていると考えられます。

オプトアウトに関する事項は、一般にプライバシーポリシーにおいて公表されていますので、自社のプライバシーポリシーを改正すべきかどうかを確認する必要があります。