見出し画像

中間整理に向け:個情法3年見直し(個人の権利利益のより実質的な保護の在り方③オプトアウト制度による第三者提供)

Ami〜こちら個人情報担当です

こんにちは!

GWもとうとう終わっちゃいましたね><
GW直前、おさがり胡蝶蘭が3回目の花を咲かせました。
その清楚な白い花に癒されています。
(と書いて1月放置してました6月ですw)

さて、3年ごと見直し中間整理に向けた検討項目の第4弾資料、
4/24の第281回個人情報保護委員会の議事概要、議事録が公表されました。
今回のテーマは、第3者提供規制のあり方(オプトアウト等)です。

オプトアウト事業者でない限り、直接的な影響はない規範です。
一方、不正な個人情報の持ち出しや利用に手を染める人は、金銭目的、すなわち、オプトアウト事前登録の上個人情報の売買を行ういわゆる「名簿屋」を介していると言われています。従って、不正持ち出しをいかに水際で防ぐか?という観点では、関心を持つべきテーマかも?と思います。

では、今回も、議事概要の議論結果を参考に、スライドに沿って見ていきたいと思います。

なお、出典の明記がないスライドは全て、表題の以下の資料が出典となります。
個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方③) 令和6年4月24日 個人情報保護委員会事務局

中間整理の検討項目(案)とここまでのまとめ

今回の公表は、2/21に公表された中間整理に向けた検討項目のうち、下図の赤枠となります。

2/21個人情報保護委員会 に加筆

これまでの議論

下スライドは、関係団体や委員意見の個人情報保護委員会による公式まとめに、今回の範囲に関する部分に赤線を引いたものです。不適正利用の禁止の文脈において、オプトアウト届出事業者に「適切な執行が必要ではないか」との問いか投げかけられています。

2/21個人情報保護委員会 に加筆


それでは、今回の公表資料を見ていきましょう。

【第3者提供規制のあり方(オプトアウト等)】

1.現行の規律①(提供時)

まず、現行の第三者提供の原則的な規律とともに、オプトアウト届け出にかかる規律の説明がされています。

1.現行の規律①(取得時)

次に、取得時、(個人からではなく)第三者からデータを取得する際には、
不正の手段により取得してはならず、取得の経緯を確認する必要があると、まとめられています。

2.オプトアウト制度に関連する改正の経緯

次に、H27改正時、ベネッセ事案を契機に、
・取得の経緯の確認を行うこと
・オプトアウト届出事業者が届出し、個人情報保護委員会が公表すること
となり、

続いて、R2改正で、
届出事業者の大半が業として名簿の販売を行う者(いわゆる「名簿屋」)で、その取得時の確認義務の不履行や、不適正に持ち出された名簿が転売されている実態が判明。
規範として以下が追加されたことがまとめられています。
・不適正に取得された個人データのオプトアウト規定による提供の禁止
・違法または不当な行為を助長等する個人情報の利用の禁止


3.「SNSで実行犯を募集する手口による強盗や特殊詐欺事案に関する緊急対策プラン」

次に、特殊詐欺事案(いわゆる自称ルフィ事案等)を受け、関係省庁合同での緊急対策プランが策定され、「闇名簿」対策の強化等が急務である背景が説明されています。

4.オプトアウト届出事業者に対する実態調査

次に、緊急対策プランを踏まえて実施された、オプトアウト届出事業者の実態調査の概要が示されています。

この調査については、1年前に、概要をまとめたことがあります。
出元が怪しいデータの買取が行われる現状が放置され、また、組織犯罪者にデータ販売が行われることは、一般の事業者から見ると、なんらか対策を打ってほしいものと思います。

なお、この調査後、個人情報保護委員会はオプトアウト事業者に注意喚起を行なっています。

筆者まとめ



5.実態調査によって明らかになった取得や提供に際して不適切な対応があった事例

次に、実際に不適切な対応があった事業者が公表されています。


6.その他不正に持ち出された個人情報を名簿事業者が買い取ったとされる事例

そのような出元が不確かな名簿を買い取る事業者がいる中、金銭目的で個人情報を持ち出す内部不正事案の例が紹介されています。

7.個人情報保護法相談ダイヤルにおけるオプトアウト届出事業者に係る質問・相談(例)

最後に、相談ダイヤルへの苦情、相談が紹介されています。
中には、悪質なものも見受けられますね…

議事概要から委員の意見

議事概要では、3委員の意見が公表されています。

清水委員から
「資料2の6ページで、緊急対策プランに基づく政策の推進の必要性が高まっているという事務局からの説明があったが、こうした状況に鑑みて、

一つはオプトアウト届出事業者の注意義務の強化が考えられる。オプトアウト届出事業者は個人情報の第三者提供を目的とする事業者のため、個人情報の取扱いに、より高度の注意義務を課す必要があるのではないか。具体的には、届出事項の追加として、事業者の連絡先、本人の認識を確保する方法の追加が考えられる。もう一つは、確認記録義務を追加し、データ取得時には、不正の手段で取得したデータでないことを確認した方法を、データ提供時には、不適正利用に該当しないことを確認した方法を、事業者に説明させることが必要ではないか。

二つ目に、委員会としてのモニタリング機能の強化で、特殊詐欺の原因はオプトアウト制度に起因するものとは限らないと理解しているが、少なくとも本制度に係る管理は委員会で適切に行っていることを説明する責任があるのではないか。問題が発生した事業者の改善状況や、新規の届出事業者の法令遵守も注視していくべきではないか。

三つ目に、届出事業者の最新の状況の把握について、今の制度では、届出内容に変更があれば再度報告の必要があるが、遵守されていない可能性があるのではないか。場合によっては事業内容の変更、廃業も考えられるため、可能であれば、一定の間隔で現況を確認するための書面を送付し、変更の届出の督促、場合によっては届出の無効化といった手段で、現に機能しているオプトアウト事業者を把握すべきではないか」

という旨の発言があった。

小川委員から
「当委員会でも、『STOP!名簿流出』というキャンペーンを実施しているが、特殊詐欺やフィッシングなどの犯罪に名簿が悪用されることが社会問題になっている。犯罪者グループは様々な名簿を基に情報収集を行い、ターゲットを絞り込んで犯行に及んでいると想定される。一方、適正なビジネスにおいても、様々な名簿を基に情報収集を行い、顧客のターゲットを絞り込んでマーケティングを行うことはあると承知している。 ただ、特に、ネットビジネスにおいては、情報を収集・利用される本人からは、相手がいずれなのかを判断できないことが多いと思う。そのため、名簿の悪用ばかりが話題になり、ネットによる情報収集や e コマースなどに対する不信や不安が社会全体に広がると、企業による適正なネットビジネスの活性化が阻害されることにもなりかねない。 そのため、相手の顔が見えないネットビジネスでは、名簿業者による名簿の取扱いに対する規律を課すだけではなく、名簿を利用する事業者に対しても、自らが適正に名簿を取得・利用している事業者か否かを消費者が判断するための手段を提供させることが、個人情報の取扱いに係る透明性の確保や、本人関与の原則の観点からも有益ではないか。 例えば、そのビジネス主体の身元を明らかにするのは当然として、適正な名簿を使っているのか、適正な目的の利用なのかなど、名簿の取得方法や利用目的の適法性を示すとともに、問合せや苦情などの連絡先を電話も含めて明示するなど、様々な手段を検討することも重要ではないか」という旨の発言があった。

藤原委員長から
「オプトアウト制度について、いわゆる闇名簿問題への対応、不正に持ち出された名簿の取扱いに係る問題等の防止及び本人の権利行使の機会のより実質的な確保の観点から、
提供先の身元や利用目的、取得の適法性の確認、本人に対する通知等について、
どのような制度の在り方があり得るか、罰則も含め、実効性ある規律となるように、更に検討を深めるべきではないか。その際には、本日委員からあった意見も踏まえることが重要である。今私から申し上げた内容も踏まえて事務局においてご検討いただきたい」旨の発言があった。

感想

オプトアウト制度は、届出している企業は一部といえ、内部不正の誘因(不正な持ち出しでも個人情報を売ればお金になる)となる点からすると、一般事業者も、適切な運用を求めていくべきテーマだと思います。

実際、この制度を用いて、自分の情報がどこで販売されているかはわからないのが実情で、全ての事業者に自分の情報削除を依頼することは現実的に難しく、個人の権利利益より、名簿事業者の既得権益寄りの制度になっているような気がします。

今後の議論に注目したいと思います。

それでは、また!

今日のDall-E3

個人情報販売事業者に抗議する🐩

この記事が気に入ったらサポートをしてみませんか?