令和2年改正個人情報保護法におけるオプトアウト制度・個人データの共同利用に関する改正

IT・情報セキュリティ 公開 更新

 令和2年改正個人情報保護法により、オプトアウト制度が強化されるとのことですが、どのような内容となりますか。また、個人データの共同利用の制度はどのように変わりますか。

 平成27年改正により、名簿業者対策の観点でオプトアウトによる個人データの第三者提供が厳格化しました。今回の改正は、さらに、その執行を実行化あらしめるためで、①オプトアウト手続を利用する個人情報取扱事業者について氏名・名称、住所、法人の代表者などが個人情報保護委員会への届出事項として追加されるとともに、②不正な手段で取得した個人情報を含む個人データやオプトアウト手続で取得した個人データについて、オプトアウト手続が利用できなくなります。また、オプトアウトによる第三者提供に限りませんが、第三者提供の記録が開示義務の対象となります。

 個人データの共同利用についても、オプトアウトと同様に、責任者の住所・法人の代表者についてあらかじめ通知または知り得る状態にすることが求められるようになります。

解説

目次

  1. オプトアウト制度に関する改正
    1. オプトアウトの対象となる個人データの限定(保護法23条【27条】2項)
    2. 本人への通知等事項・届出対象事項の追加
    3. 第三者提供記録義務の開示義務化
    4. 施行期日・経過規定
    5. 執行の強化
  2. 個人データの共同利用に関する改正
    1. あらかじめ本人に通知し、本人が容易に知り得る状態に置く事項の追加
    2. 変更方法
<編注>
2021年9月29日:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、令和2年改正法)の公布を踏まえ、記事の全体について加筆、修正しました。

また、本記事の凡例は以下のとおりです。
  • 現行法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく改正前の個人情報保護法
  • 改正法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく改正後の個人情報保護法
  • 保護法:「個人情報の保護に関する法律」(平成15年法律第57号)
  • 規則:「個人情報の保護に関する法律施行規則」(平成28年個人情報保護委員会規則第3号)
  • 改正規則:「個人情報の保護に関する法律施行規則」(令和3年個人情報保護委員会規則第1号)
  • 令:個人情報の保護に関する法律施行令(平成15年政令第507号)
本稿内において【】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の条番号です。

オプトアウト制度に関する改正

 個人データの第三者提供のためには本人の事前の同意(オプトイン)が必要であるのが原則です。これに対して、オプトアウト制度においては、本人の事前の同意がなくても、本人が異議を留めるまで個人データを第三者に提供できる制度です。本人の事前の同意(オプトイン)がなくても第三者提供ができるため、本人保護の観点から異議を留めるための機会について本人の知り得る状態に置かなければなりませんが、名簿事業者のような事業者において本人の知り得る機会についていい加減な対応がなされてきたため、平成27年改正において個人情報保護委員会への届出が必要となるとともに、本人に知り得る機会の提供がしっかりなされるように改正がなされました。令和2年改正においては平成27年改正をさらに実質化する改正がなされています。

オプトアウトの対象となる個人データの限定(保護法23条【27条】2項)

 現行法では、要配慮個人データに該当する個人データがオプトアウトの対象外とされています(現行法23条2項)。  改正法では要配慮個人データに該当する個人データに加えて、以下の個人データがオプトアウトの対象外とされます(改正法23条【27条】2項ただし書)。

  • 不正な手段で取得(保護法17条【20条】)した個人情報を含む個人データ
  • オプトアウト手続で取得した個人データ

 個人情報保護委員会が平成29年度および平成31年度に行った実態調査では、適正に取得していないと思われる個人データをオプトアウト規定により流通させる等、個人の権利利益保護の観点から問題のある取扱いについての課題が明らかとなっています 1

 具体的には、名簿業者の個人情報の取得については、判明している限りにおいて、第三者から提供を受けて取得するケースが大半を占めています。名簿業者に持ち込まれる名簿の中には、本人が提供した覚えのない形で流通しているような名簿が含まれている実態があり、提供者が違法に持ち出したり不正の手段で取得している名簿も含まれているとみられます。名簿を取得する名簿業者においても、提供者が不正の手段で取得していることを知り、または容易に知り得るケースがあるものとみられます。

 また、いわゆる名簿業者同士で名簿が取引されることもあります。平成29年度に委員会が実施した個人情報の第三者提供事業等に係る実態調査では、オプトアウト届出を行っている事業者(以下、オプトアウト届出事業者)約30者を対象としてヒアリング等を行ったところ、半数近い事業者が同業者間で個人情報の取引を行っていることが判明しました 2

 さらに、名簿業者を含むオプトアウト届出事業者は、個人データの第三者提供の際、または第三者提供を受ける際に確認・記録義務を負うところ(保護法25条【29条】、26条【30条】)、その義務を履行していない事業者もありました 3

 このように、名簿の流通により本人の関与が困難となっている現状を踏まえ、「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(以下、制度改正大綱)では、オプトアウト届出事業者によって個人情報が不適切に取得されることがないよう、個人の権利利益を保護する観点から、オプトアウト規定に基づいて本人同意なく第三者提供できる個人データの範囲をより限定していくこととされました。
 なお、オプトアウトにより提供を受けた個人データの、オプトアウトによる再提供の禁止や、不正取得された個人データのオプトアウトによる提供の禁止については、当該個人データの全部または一部を複製・加工したものについても適用があるため、注意を要します(「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下、通則編ガイドライン)3-6-2-1(※7))。

本人への通知等事項・届出対象事項の追加

(1)追加事項

 令和2年改正法では、個人情報取扱事業者が、第三者に提供される個人データについて、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出るべき事由が以下のとおりとなります(保護法23条【27条】2項各号、規則7条【11条】4項各号)。下線を引いているものが改正により追加されるものです(①・④・⑧・⑨)。

  1. 第三者への提供を行う個人情報取扱事業者の氏名または名称及び住所ならびに法人にあっては、その代表者(法人でない団体で代表者または管理人の定めのあるものにあっては、その代表者または管理人)の氏名(保護法23条【27条】2項1号)(新設)
  2. 第三者への提供を利用目的とすること。(同項2号)
  3. 第三者に提供される個人データの項目(同項3号)
  4. 第三者に提供される個人データの取得の方法(同項4号)(新設)
  5. 第三者への提供の方法(同項5号)
  6. 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。(同項6号)
  7. 本人の求めを受け付ける方法(同項7号)
  8. 第三者に提供される個人データの更新の方法(同項8号、規則9条【13条】4項1号)(新設)
  9. 当該届出に係る個人データの第三者への提供を開始する予定日(保護法23条1項8号、規則7条【11条】4項2号)(新設)

 オプトアウトによる第三者提供の届出に関しては、現行法上、事業者の住所等の基本的な事項が法定の届出事項となっていないことから、届出後、一定期間経過後に住所変更等により連絡がつかなくなる場合があります。個人情報保護委員会によれば、平成31年4月に委員会が実施したオプトアウト届出事業者の実態調査において、同年3月31日時点の全158者に調査票を郵送したところ、所在不明により6者の事業者とは連絡がとれなかったとのことです。
 そこで、適正な執行の確保等の観点から、事業者の名称や住所といった基本的事項を届出事項として追加するとともに、変更があった場合の届出を求め、委員会がオプトアウト届出事業者の所在を把握できるようにすることとされました(上記①)

 「④第三者に提供される個人データの取得の方法」は、オプトアウトにより第三者に提供される個人データについて取得元(取得源)と取得方法を示す必要があります(通則編ガイドライン3-6-2-1(4))。たとえば、「新聞・雑誌・書籍・ウェブサイトの閲覧による取得」や「官公庁による公開情報からの取得」と記載します。

 「⑧第三者に提供される個人データの更新の方法」は、第三者に提供される個人データをどのように更新しているか記載します(通則編ガイドライン3-6-2-1(8))。

 「⑨当該届出に係る個人データの第三者への提供を開始する予定日」は、新規の届出の場合には、オプトアウトによる第三者提供を開始する予定日を記入します。変更届の場合には、変更届に基づいて第三者提供を開始する予定日を記入します(通則編ガイドライン3-6-2-1(9))。

(2)変更方法

 令和2年改正法の施行日(令和4年4月1日)以前は、上記(1)のうち、③・⑤・⑦に関する事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならないとされています(現行法23条【27条】3項)。

 令和2年改正法の施行日(令和4年4月1日)以降は、①に掲げる事項に変更があったときまたはオプトアウトによる個人データの提供をやめたときは「遅滞なく」、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません(改正法23条【27条】3項)。
 他方、③から⑤まで、⑦または⑧に掲げる事項を変更しようとするときは「あらかじめ」、その旨について、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければなりません(改正法23条【27条】3項)。

第三者提供記録義務の開示義務化

(1)第三者提供記録の開示義務

 個人データの第三者提供を行う場合は、「個人データの第三者提供に係る記録」(保護法25条【29条】1項)および「個人データの第三者提供を受ける際の確認の記録」(保護法26条【30条】3項)を必ず作成する必要があります。
 改正法では、これらの「個人データの第三者提供に係る記録」および「個人データの第三者提供を受ける際の確認の記録」(第三者提供記録)が開示義務の対象とされます。(改正法28条【33条】5項)

 平成27年改正法においては、第三者提供に係る確認記録が義務付けられました。この確認義務は、①不正の手段によって取得された個人情報が転々流通することを防止し、また、②記録の作成・保存の義務により、個人情報の流通に係るトレーサビリティの確保を図るものです。しかしながら、この「個人情報の流通に係るトレーサビリティ」は、あくまでも監督機関から見たトレーサビリティの確保であって、本人からみたトレーサビリティは担保されませんでした。

 個人情報の流通に係るトレーサビリティについては、本人にとって利用停止権や請求権を行使する上で、必要不可欠な要素です。実際、委員会が設置している相談ダイヤルには、個人情報の取得元の開示を求めることはできないかという相談や、取得元の開示を求める制度を作るべきであるという意見が多く寄せられました。
 そこで、改正法では、個人データの第三者への提供時・第三者からの受領時の記録も、開示請求の対象とすることとされました。

 なお、第三者提供時の確認記録の開示義務化は、条文上はオプトインによる同意の場合も適用され得ますが、この場合は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」において、「2-2 解釈により確認・記録義務が適用されない第三者提供」に該当するものとして、そもそも確認記録を作成しない場合が多いです。

(2)第三者提供記録の開示義務の例外

 以下の場合は開示義務の対象となる第三者提供記録から除外されます(令9条【11条】各号)。

  1. 当該記録の存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの

    事例)犯罪被害者支援や児童虐待防止を目的とする団体が、加害者を本人とする個人データの提供を受けた場合に作成された記録


  2. 当該記録の存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの

    事例)暴力団等の反社会的勢力による不当要求の被害等を防止するために、暴力団等の反社会的勢力に該当する人物を本人とする個人データの提供を受けた場合に作成された記録


  3. 当該記録の存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの

    事例)要人の警備のために、要人を本人とする行動記録等に関する個人データの提供を受けた場合に作成された記録


  4. 当該記録の存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

    事例)警察の犯罪捜査の協力のために、事前に取得していた同意に基づき、犯罪者を本人とする個人データの提供を行った場合に作成された記録

(3)第三者提供記録の開示の方法(保護法28条【33条】5項、同条1項、規則18条の6【30条】、通則編ガイドライン3-8-3-2)

 個人情報取扱事業者は、本人から、当該本人が識別される個人データに係る第三者提供記録の開示(存在しないときにはその旨を知らせることを含む)の請求を受けたときは、本人に対し、電磁的記録の提供による方法、書面の交付による方法、その他当該個人情報取扱事業者の定める方法のうち本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該第三者提供記録を開示しなければなりません。

 個人情報取扱事業者が第三者提供記録を本人に開示するにあたっては、保護法において記録事項とされている事項を本人が求める方法により開示すれば足り、それ以外の事項を開示する必要はありません。たとえば、契約書の代替手段による方法で記録を作成した場合には、当該契約書中、記録事項となっている事項を抽出した上で、本人が求める方法により開示すれば足り、契約書そのものを開示する必要はありません。

(4)第三者提供記録の不開示事由等(保護法28条【33条】5項、同条2項・3項、通則編ガイドライン3-8-3-3)

 第三者提供記録を開示することにより次のアからウまでのいずれかに該当する場合は、その全部または一部を開示しないことができます。他方、これにより開示しない旨の決定をしたときまたは請求に係る第三者提供記録が存在しないときは、遅滞なく、その旨を本人に通知しなければなりません。また、本人が請求した方法による開示が困難であるときは、その旨を本人に通知したうえで、書面の交付による方法により開示を行わなければなりません。

ア 本人または第三者の生命、身体、財産その他の権利利益を害するおそれる場合
第三者提供記録を本人に開示することにより、本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合は、当該第三者提供記録の全部または一部を開示しないことができます。


事例1)第三者提供記録に個人データの項目として本人が難病であることを示す内容が記載されている場合において、当該第三者提供記録を開示することにより、患者本人の心身状況を悪化させるおそれがある場合


事例2)企業の与信判断等に用いられる企業情報の一部として代表者の氏名等が提供され、第三者提供記録が作成された場合において、当該第三者提供記録を開示することにより、提供を受けた第三者が与信判断、出資の検討、提携先・取引先の選定等を行っていることを含む秘密情報が漏えいするおそれがある場合


イ 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
第三者提供記録を本人に開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合は、当該第三者提供記録の全部または一部を開示しないことができます。他の事業者と取引関係にあることが契約上秘密情報とされている場合であっても、記録事項そのものを開示することについては、ただちにこれに該当するものではなく、個別具体的に判断する必要があります。


事例)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合


ウ 他の法令に違反することとなる場合
第三者提供記録を本人に開示することにより、他の法令に違反することとなる場合は、当該第三者提供記録の全部または一部を開示しないことができます。


事例 )刑法(明治40年法律第45号)第134条(秘密漏示罪)に違反することとなる場合

施行期日・経過規定

 本規定は、原則どおり、令和4年4月1日に施行されます。
 ただし、令和3年10月1日以降に、以下の事項に相当する事項について、本人に通知するとともに、個人情報保護委員会に届け出ることができます。この場合、当該通知および届出は、施行日以後は、同項の規定による通知および届出とみなされます(改正法附則2条、改正規則附則1条3号)。

  • 第三者への提供を行う個人情報取扱事業者の氏名・名称、住所、法人の場合はその代表者の氏名(改正法23条【27条】2項1号)
  • 第三者に提供される個人データの取得の方法(改正法23条【27条】2項4号)
  • その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項(改正法23条【27条】2項8号)
  • 個人データの管理について責任を有する者の住所および法人の代表者の氏名に関する事項(改正法23条【27条】5項3号)について、施行日前に、本人に通知されているときは、当該通知は、同号の規定により行われたものとみなされる(令和2年改正法附則3条)

執行の強化

 オプトアウト規定については、平成27年改正法により改正前の手続に加え、個人情報保護委員会への届出義務が創設されました(改正法23条)。制度としては一定程度有効に機能しているものと評価されます。
 しかしながら、これまで委員会が行った実態調査では、確認・記録義務の履行が不十分な業者やいまだ届出のない事業者が存在することが分かりました。また、本人がオプトアウトの要否を判断する手がかりとなる、オプトアウト手続に関する委員会への届出の内容と実際の業況が異なる業者が存在することも判明しています 4。さらに、本人が、第三者提供後の用途を考慮しオプトアウト手続をとるうえで必要十分な具体性のある内容が提供されているかどうかという点で、懸念があります。

 制度改正大綱では、このような実態を踏まえ、委員会においては、届出を行っている全事業者に対し、届出書の記載内容の確認を求め、必要に応じて再届出を行わせています。今後も指導等を行った事業者の業務実態や未届事業者の把握を継続的に行うなど、執行による名簿業者対策の徹底を進め、個人情報保護法に適合しない形で名簿等が取り扱われている場合には必要な措置をとっていくこととされています

個人データの共同利用に関する改正

あらかじめ本人に通知し、本人が容易に知り得る状態に置く事項の追加

 令和2年改正法の施行日(令和4年4月1日)以降は、個人データの共同利用(改正法23条【27条】5項3号)について、あらかじめ本人に通知し、本人が容易に知り得る状態に置く事項として、個人データの管理について責任を有する者の「住所」、「(法人の場合は)代表者の氏名」が追加されます。

【改正後の共同利用にあたって本人に通知・知り得る状態に置く事項】
  1. 特定の者との間で共同して利用される個人データが当該特定の者に提供される旨
  2. 共同して利用される個人データの項目
  3. 共同して利用する者の範囲
  4. 利用する者の利用目的
  5. 当該個人データの管理について責任を有する者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名(下線部追加)

変更方法

 令和2年改正法の施行日(令和4年4月1日)以前は、個人情報取扱事業者は、「共同利用する者の利用目的」または「個人データの管理について責任を有する者の氏名もしくは名称」を変更する場合は、変更する内容について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置かなければならないこととされています(現行法23条6項)。

 令和2年改正法の施行日(令和4年4月1日)以降は、個人情報取扱事業者は、個人データを共同利用する場合において、「個人データの管理について責任を有する者の氏名、名称もしくは住所または法人にあっては、その代表者の氏名」に変更があったときは「遅滞なく」、当該変更後の内容について、「共同利用する者の利用目的」または「当該責任を有する者」を変更しようとするときは「変更する前」に、変更しようとする内容について、本人に通知し、または本人が容易に知り得る状態に置かなければならなくなります(改正法23条【27条】6項、通則編ガイドライン3-6-3(3))。

 なお、「共同利用する者の利用目的」については、社会通念上、本人が通常予期し得る限度と客観的に認められる範囲内で変更することができます。

令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 関連書籍
  • 令和2年改正個人情報保護法Q&A 増補版―ガイドライン対応実務と規程例―
  • 著者:渡邉 雅之
  • 定価:本体 3,200円+税
  • 出版社:第一法規
  • 発売年月:2021年9月

  • 令和2(2020)年に成立した個人情報保護法の改正法に加え、令和3(2021)年に成立した改正内容や最新「ガイドライン」情報まで新たに織り込み、わかりやすくQ&Aとクイズで解説。サイトより規程等ひな型のダウンロードもできる。

  1. 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(令和元年12月13日) ↩︎

  2. 個人情報保護委員会・前掲注1) ↩︎

  3. 個人情報保護委員会・前掲注1) ↩︎

  4. 個人情報保護委員会・前掲注1) ↩︎

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する